Adobe-säkerhetsbulletin

Säkerhetsuppdatering tillgänglig för Adobe Commerce | APSB22-38

Bulletin-ID

Publiceringsdatum

Prioritet

APSB22-38

9 augusti 2022
      

3

Sammanfattning

Adobe har släppt uppdateringar för Adobe Commerce och Magento Open Source. Uppdateringen åtgärdar kritiska, viktiga och måttliga sårbarheter.  Ett framgångsrikt utnyttjande kan leda till exekvering av godtycklig kod, utökning av privilegier och kringgående av säkerhetsfunktioner.

Berörda versioner

Produkt Version Plattform
 Adobe Commerce 2.4.3-p2 och tidigare versioner  
Alla
2.3.7-p3 och tidigare versioner   Alla
Adobe Commerce
2.4.4 och tidigare versioner  
Alla
Magento Open Source

2.4.3-p2 och tidigare versioner       

Alla
2.3.7-p3 och tidigare versioner Alla
Magento Open Source
2.4.4 och tidigare versioner  
Alla

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.

Produkt Uppdaterad version Plattform Prioritetsklassificering Installationsanvisningar
Adobe Commerce
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Alla
3

Versionsinformation 2.4.x

Versionsinformation 2.3.x

Magento Open Source 
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Alla
3

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet Krävs Authentication för utnyttjande? Kräver utnyttjande administratörsrättigheter?
CVSS-baspoäng
CVSS-vektor
Magento fel-ID CVE-nummer
XML-injektion (även kallad indragen XPath-injektion) (CWE-91)
Exekvering av godtycklig kod
Kritisk Ja Ja 9.1 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
PRODSECBUG-3095
CVE-2022-34253
Felaktig begränsning av en sökväg till en begränsad katalog (”path traversal”) (CWE-22)
Exekvering av godtycklig kod
Kritisk Ja Nej 8.5 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
PRODSECBUG-3081
CVE-2022-34254
Felaktig validering av indata (CWE-20)
Eskalering av behörighet
Allvarlig Ja Nej  8.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
PRODSECBUG-3082
CVE-2022-34255
Felaktig auktorisering (CWE-285)
Eskalering av behörighet
Allvarlig Nej Nej 8.2 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
PRODSECBUG-3093
CVE-2022-34256
Serveröverskridande skriptning (lagrad XSS) (CW-79)
Exekvering av godtycklig kod
Viktigt Nej Nej 6.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
PRODSECBUG-3079
CVE-2022-34257
Serveröverskridande skriptning (lagrad XSS) (CW-79)
Exekvering av godtycklig kod
Måttlig Ja Ja 3.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N
PRODSECBUG-3080
CVE-2022-34258
Felaktig åtkomstkontroll (CWE-284)
Åsidosättning av säkerhetsfunktion
Viktig Nej Nej 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-34259
Felaktig auktorisering (CWE-285)
Åsidosättning av säkerhetsfunktion
Måttlig
Nej Nej 3.7 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
PRODSECBUG-3151
CVE-2022-35692
Felaktig validering av indata (CWE-20)
Eskalering av behörighet
Allvarlig Ja Nej 8.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3196
CVE-2022-42344

 

Tack

Adobe tackar följande forskare för att de har rapporterat problemet och för att de samarbetar med Adobe för att hjälpa till att skydda våra kunder:

  • zb3 (zb3) – CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
  • Edgar Boda-Majer (eboda) – CVE-2022-34254, CVE-2022-34257
  • Salman Khan (salmanbabuzai) – CVE-2022-34258
  • Axel Flamcourt (axfla) – CVE-2022-34259, CVE-2022-35692
  • fqdn – CVE-2022-42344

 

Revisioner

18 oktober 2022: CVE-2022-42344 lades till

22 augusti 2022: Prioriteringsändring i lösningstabellen

18 augusti 2022: CVE-2022-35692 lades till

12 augusti 2022: Uppdaterade värden i ”Autentisering krävs för utnyttjande” och ”Utnyttjande kräver administratörsrättigheter.”



 


Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.

 Adobe

Få hjälp snabbare och enklare

Ny användare?