Adobe-säkerhetsbulletin

Säkerhetsuppdatering tillgänglig för Adobe Commerce | APSB22-48

Bulletin-ID

Publiceringsdatum

Prioritet

APSB22-48

11 oktober 2022

3

Sammanfattning

Adobe har släppt uppdateringar för Adobe Commerce och Magento Open Source. Uppdateringen löser en kritisk och en medelhög sårbarhet.  .  Ett framgångsrikt utnyttjande kan leda till exekvering av godtycklig kod och kringgående av säkerhetsfunktioner.

Berörda versioner

Produkt Version Plattform
 Adobe Commerce
2.4.4-p1 och tidigare versioner  
Alla
2.4.5 och tidigare versioner  
Alla
2.4.3-p3 och tidigare versioner Alla
Magento Open Source 2.4.4-p1 och tidigare versioner Alla
2.4.5 och tidigare versioner  
Alla
2.4.3-p3 och tidigare versioner
Alla

Obs! 

  • 2.4.3-p1 och lägre än 2.4.3-p1 påverkas inte om alla tillämpliga säkerhetskorrigeringar tillämpas

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.

 

 

Produkt Uppdaterad version Plattform Prioritetsklassificering Installationsanvisningar
Adobe Commerce
2.4.5-p1 och 2.4.4-p2 
Alla
3 Versionsinformation 2.4.x
Magento Open Source 
2.4.5-p1 och 2.4.4-p2 
Alla
3
         
Adobe Commerce
2.4.3-p3_Hotfix
Alla
3 ACSD-47578 felkorrigering
Magento Open Source 
2.4.3-p3_Hotfix
Alla
3

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet Krävs Authentication för utnyttjande? Kräver utnyttjande administratörsrättigheter?
CVSS-baspoäng
CVSS-vektor
Magento fel-ID CVE-nummer
Serveröverskridande skriptning (lagrad XSS) (CW-79)
Exekvering av godtycklig kod
Kritisk Nej Nej 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
 PRODSECBUG-3177
CVE-2022-35698
Felaktig åtkomstkontroll (CWE-284)
Åsidosättning av säkerhetsfunktion
Medel Ja Nej 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-35689

 

Tack

Adobe tackar följande forskare för att de har rapporterat problemet och för att de samarbetar med Adobe för att hjälpa till att skydda våra kunder:

  • Blaklis (blaklis) – CVE-2022-35698

Revisioner

12 oktober 2022: Lagt till CVE-uppgifter för CVE-2022-35689

18 oktober 2022: Lagt till detaljer om berörda/rättelser för 2.4.3.x

 

Revisioner

22 augusti 2022: Prioriteringsändring i lösningstabellen

18 augusti 2022: CVE-2022-35692 lades till

12 augusti 2022: Uppdaterade värden i ”Autentisering krävs för utnyttjande” och ”Utnyttjande kräver administratörsrättigheter.”

 


Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.

 Adobe

Få hjälp snabbare och enklare

Ny användare?

Adobe MAX 2024

Adobe MAX
Kreativitetskonferensen

14–16 okt i Miami Beach och online

Adobe MAX

Kreativitetskonferensen

14–16 okt i Miami Beach och online

Adobe MAX 2024

Adobe MAX
Kreativitetskonferensen

14–16 okt i Miami Beach och online

Adobe MAX

Kreativitetskonferensen

14–16 okt i Miami Beach och online