Buletin de securitate Adobe

Actualizare de securitate disponibilă pentru Adobe Commerce | APSB22-38

ID buletin

Data publicării

Prioritatea

APSB22-38

9 august 2022

3

Sumar

Adobe a lansat o actualizare de securitate pentru Adobe Commerce și Magento Open Source. Această actualizare remediază vulnerabilități critice, importante și moderate.  Exploatarea reușită ar putea conduce la executarea de cod arbitrar, escaladarea privilegiilor și ocolirea caracteristicii de securitate.

Versiunile afectate

Produs Versiunea Platformă
 Adobe Commerce 2.4.3-p2 și versiunile anterioare  
Toate
2.3.7-p3 și versiunile anterioare  Toate
Adobe Commerce
2.4.4 și versiunile anterioare  
Toate
Magento Open Source

2.4.3-p2 și versiunile anterioare       

Toate
2.3.7-p3 și versiunile anterioare Toate
Magento Open Source
2.4.4 și versiunile anterioare  
Toate

Soluție

Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune.

Produs Versiune actualizată Platformă Evaluare a priorității Instrucţiuni de instalare
Adobe Commerce
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Toate
3

Notele versiunii 2.4.x

Notele versiunii 2.3.x

Magento Open Source 
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Toate
3

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate Impactul vulnerabilității Severitate Este necesară autentificarea pentru exploatare? Exploatarea necesită privilegii de administrator?
Scor de bază CVSS
Vector CVSS
Magento Bug ID Numărul (numerele) CVE
Injectare XML (cunoscută și ca Blind XPath Injection) (CWE-91)
Executare de cod arbitrară
Critică Da Da 9.1 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
PRODSECBUG-3095
CVE-2022-34253
Limitare incorectă a unui nume de cale la un director restricționat („Traversarea căii”) (CWE-22)
Executare de cod arbitrară
Critică Da Nu 8.5 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
PRODSECBUG-3081
CVE-2022-34254
Validare neadecvată a intrării (CWE-20)
Escaladarea privilegiilor
Critică Da Nu  8.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
PRODSECBUG-3082
CVE-2022-34255
Improper Authorization (CWE-285)
Escaladarea privilegiilor
Critică Nu Nu 8.2 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
PRODSECBUG-3093
CVE-2022-34256
Scriptare între site-uri (XSS stocat) (CWE-79)
Executare de cod arbitrară
Importantă Nu Nu 6.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
PRODSECBUG-3079
CVE-2022-34257
Scriptare între site-uri (XSS stocat) (CWE-79)
Executare de cod arbitrară
Moderată Da Da 3.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N
PRODSECBUG-3080
CVE-2022-34258
Control inadecvat al accesului (CWE-284)
Ocolirea caracteristicii de securitate
Importantă Nu Nu 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-34259
Improper Authorization (CWE-285)
Ocolirea caracteristicii de securitate
Moderată
Nu Nu 3.7 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
PRODSECBUG-3151
CVE-2022-35692
Validare neadecvată a intrării (CWE-20)
Escaladarea privilegiilor
Critică Da Nu 8.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3196
CVE-2022-42344

 

Mențiuni

Adobe dorește să le mulțumească următorilor cercetători pentru raportarea acestei probleme și pentru colaborarea cu Adobe în scopul protejării clienților noștri:

  • zb3 (zb3) -- CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
  • Edgar Boda-Majer (eboda) - CVE-2022-34254, CVE-2022-34257
  • Salman Khan (salmanbabuzai) - CVE-2022-34258
  • Axel Flamcourt (axfla) - CVE-2022-34259, CVE-2022-35692
  • fqdn - CVE-2022-42344

 

Revizii

18 octombrie 2022: A fost adăugat CVE-2022-42344

22 august 2022: revizuirea evaluării priorității în tabelul de soluții

18 august 2022: adăugat CVE-2022-35692

12 august 2022: valori actualizate în „Este necesară autentificarea pentru exploatare” și „Exploatarea necesită privilegii de administrator”.



 


Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com.

 Adobe

Obțineți ajutor mai rapid și mai ușor

Utilizator nou?