Bulletin-ID
Säkerhetsuppdatering tillgänglig för Adobe Commerce | APSB22-48
|
Publiceringsdatum |
Prioritet |
---|---|---|
APSB22-48 |
11 oktober 2022 |
3 |
Sammanfattning
Berörda versioner
Produkt | Version | Plattform |
---|---|---|
Adobe Commerce |
2.4.4-p1 och tidigare versioner |
Alla |
2.4.5 och tidigare versioner |
Alla |
|
2.4.3-p3 och tidigare versioner | Alla | |
Magento Open Source | 2.4.4-p1 och tidigare versioner | Alla |
2.4.5 och tidigare versioner |
Alla |
|
2.4.3-p3 och tidigare versioner |
Alla |
Obs!
- 2.4.3-p1 och lägre än 2.4.3-p1 påverkas inte om alla tillämpliga säkerhetskorrigeringar tillämpas
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
Produkt | Uppdaterad version | Plattform | Prioritetsklassificering | Installationsanvisningar |
---|---|---|---|---|
Adobe Commerce |
2.4.5-p1 och 2.4.4-p2 |
Alla |
3 | Versionsinformation 2.4.x |
Magento Open Source |
2.4.5-p1 och 2.4.4-p2 |
Alla |
3 | |
Adobe Commerce |
2.4.3-p3_Hotfix |
Alla |
3 | ACSD-47578 felkorrigering |
Magento Open Source |
2.4.3-p3_Hotfix |
Alla |
3 |
Sårbarhetsinformation
Sårbarhetskategori | Sårbarhetens inverkan | Allvarlighet | Krävs Authentication för utnyttjande? | Kräver utnyttjande administratörsrättigheter? |
CVSS-baspoäng |
CVSS-vektor |
Magento fel-ID | CVE-nummer |
---|---|---|---|---|---|---|---|---|
Serveröverskridande skriptning (lagrad XSS) (CW-79) |
Exekvering av godtycklig kod |
Kritisk | Nej | Nej | 10.0 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3177 |
CVE-2022-35698 |
Felaktig åtkomstkontroll (CWE-284) |
Åsidosättning av säkerhetsfunktion |
Medel | Ja | Nej | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
PRODSECBUG-3180 |
CVE-2022-35689 |
Tack
Adobe tackar följande forskare för att de har rapporterat problemet och för att de samarbetar med Adobe för att hjälpa till att skydda våra kunder:
- Blaklis (blaklis) – CVE-2022-35698
Revisioner
12 oktober 2022: Lagt till CVE-uppgifter för CVE-2022-35689
18 oktober 2022: Lagt till detaljer om berörda/rättelser för 2.4.3.x
Revisioner
22 augusti 2022: Prioriteringsändring i lösningstabellen
18 augusti 2022: CVE-2022-35692 lades till
12 augusti 2022: Uppdaterade värden i ”Autentisering krävs för utnyttjande” och ”Utnyttjande kräver administratörsrättigheter.”
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.