Bulletin-ID
Senast uppdaterad den
27 okt. 2022
Säkerhetsuppdatering tillgänglig för Adobe Commerce | APSB22-38
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB22-38 |
9 augusti 2022 |
3 |
Sammanfattning
Berörda versioner
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Commerce | 2.4.3-p2 och tidigare versioner |
Alla |
| 2.3.7-p3 och tidigare versioner | Alla |
|
| Adobe Commerce |
2.4.4 och tidigare versioner |
Alla |
| Magento Open Source |
2.4.3-p2 och tidigare versioner |
Alla |
| 2.3.7-p3 och tidigare versioner | Alla | |
| Magento Open Source |
2.4.4 och tidigare versioner |
Alla |
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
| Produkt | Uppdaterad version | Plattform | Prioritetsklassificering | Installationsanvisningar |
|---|---|---|---|---|
| Adobe Commerce |
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5 |
Alla |
3 | |
| Magento Open Source |
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5 |
Alla |
3 |
Sårbarhetsinformation
| Sårbarhetskategori | Sårbarhetens inverkan | Allvarlighet | Krävs Authentication för utnyttjande? | Kräver utnyttjande administratörsrättigheter? |
CVSS-baspoäng |
CVSS-vektor |
Magento fel-ID | CVE-nummer |
|---|---|---|---|---|---|---|---|---|
| XML-injektion (även kallad indragen XPath-injektion) (CWE-91) |
Exekvering av godtycklig kod |
Kritisk | Ja | Ja | 9.1 | CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3095 |
CVE-2022-34253 |
| Felaktig begränsning av en sökväg till en begränsad katalog (”path traversal”) (CWE-22) |
Exekvering av godtycklig kod |
Kritisk | Ja | Nej | 8.5 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
PRODSECBUG-3081 |
CVE-2022-34254 |
| Felaktig validering av indata (CWE-20) |
Eskalering av behörighet |
Allvarlig | Ja | Nej | 8.3 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
PRODSECBUG-3082 |
CVE-2022-34255 |
| Felaktig auktorisering (CWE-285) |
Eskalering av behörighet |
Allvarlig | Nej | Nej | 8.2 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
PRODSECBUG-3093 |
CVE-2022-34256 |
| Serveröverskridande skriptning (lagrad XSS) (CW-79) |
Exekvering av godtycklig kod |
Viktigt | Nej | Nej | 6.1 | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
PRODSECBUG-3079 |
CVE-2022-34257 |
| Serveröverskridande skriptning (lagrad XSS) (CW-79) |
Exekvering av godtycklig kod |
Måttlig | Ja | Ja | 3.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N |
PRODSECBUG-3080 |
CVE-2022-34258 |
| Felaktig åtkomstkontroll (CWE-284) |
Åsidosättning av säkerhetsfunktion |
Viktig | Nej | Nej | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
PRODSECBUG-3180 |
CVE-2022-34259 |
| Felaktig auktorisering (CWE-285) |
Åsidosättning av säkerhetsfunktion |
Måttlig |
Nej | Nej | 3.7 | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
PRODSECBUG-3151 |
CVE-2022-35692 |
| Felaktig validering av indata (CWE-20) |
Eskalering av behörighet |
Allvarlig | Ja | Nej | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3196 |
CVE-2022-42344 |
Tack
Adobe tackar följande forskare för att de har rapporterat problemet och för att de samarbetar med Adobe för att hjälpa till att skydda våra kunder:
- zb3 (zb3) – CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
- Edgar Boda-Majer (eboda) – CVE-2022-34254, CVE-2022-34257
- Salman Khan (salmanbabuzai) – CVE-2022-34258
- Axel Flamcourt (axfla) – CVE-2022-34259, CVE-2022-35692
- fqdn – CVE-2022-42344
Revisioner
18 oktober 2022: CVE-2022-42344 lades till
22 augusti 2022: Prioriteringsändring i lösningstabellen
18 augusti 2022: CVE-2022-35692 lades till
12 augusti 2022: Uppdaterade värden i ”Autentisering krävs för utnyttjande” och ”Utnyttjande kräver administratörsrättigheter.”
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.
