Buletin de securitate Adobe

Actualizare de securitate disponibilă pentru Adobe Commerce | APSB22-48

ID buletin

Data publicării

Prioritatea

APSB22-48

11 octombrie 2022

3

Sumar

Adobe a lansat o actualizare de securitate pentru Adobe Commerce și Magento Open Source. Această actualizare rezolvă o vulnerabilitate critică și medie.  Exploatarea reușită ar putea conduce la executarea de cod arbitrar și ocolirea caracteristicii de securitate.

Versiunile afectate

Produs Versiunea Platformă
 Adobe Commerce
2.4.4-p1 și versiunile anterioare  
Toate
2.4.5 și versiunile anterioare  
Toate
2.4.3-p3 și versiunile anterioare Toate
Magento Open Source 2.4.4-p1 și versiunile anterioare Toate
2.4.5 și versiunile anterioare  
Toate
2.4.3-p3 și versiunile anterioare
Toate

Notă: 

  • 2.4.3-p1 și sub 2.4.3-p1 nu sunt afectate dacă sunt aplicate toate corecțiile de securitate aplicabile

Soluție

Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune.

 

 

Produs Versiune actualizată Platformă Evaluare a priorității Instrucţiuni de instalare
Adobe Commerce
2.4.5-p1 și 2.4.4-p2 
Toate
3 Notele versiunii 2.4.x
Magento Open Source 
2.4.5-p1 și 2.4.4-p2 
Toate
3
         
Adobe Commerce
2.4.3-p3_Hotfix
Toate
3 Patch-ul ACSD-47578
Magento Open Source 
2.4.3-p3_Hotfix
Toate
3

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate Impactul vulnerabilității Severitate Este necesară autentificarea pentru exploatare? Exploatarea necesită privilegii de administrator?
Scor de bază CVSS
Vector CVSS
Magento Bug ID Numărul (numerele) CVE
Scriptare între site-uri (XSS stocat) (CWE-79)
Executare de cod arbitrară
Critică Nu Nu 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
 PRODSECBUG-3177
CVE-2022-35698
Control inadecvat al accesului (CWE-284)
Ocolirea caracteristicii de securitate
Medie Da Nu 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-35689

 

Mențiuni

Adobe dorește să le mulțumească următorilor cercetători pentru raportarea acestei probleme și pentru colaborarea cu Adobe în scopul protejării clienților noștri:

  • Blaklis (blaklis) - CVE-2022-35698

Revizii

12 octombrie 2022: au fost adăugate detaliile CVE pentru CVE-2022-35689

18 octombrie 2022: au fost adăugate detalii de afectare / remediere pentru 2.4.3.x

 

Revizii

22 august 2022: revizuirea evaluării priorității în tabelul de soluții

18 august 2022: adăugat CVE-2022-35692

12 august 2022: valori actualizate în „Este necesară autentificarea pentru exploatare” și „Exploatarea necesită privilegii de administrator”.

 


Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com.

 Adobe

Obțineți ajutor mai rapid și mai ușor

Utilizator nou?

Adobe MAX 2024

Adobe MAX
Conferința despre creativitate

14 – 16 octombrie, Miami Beach și online

Adobe MAX

Conferința despre creativitate

14 – 16 octombrie, Miami Beach și online

Adobe MAX 2024

Adobe MAX
Conferința despre creativitate

14 – 16 octombrie, Miami Beach și online

Adobe MAX

Conferința despre creativitate

14 – 16 octombrie, Miami Beach și online