Adobe Güvenlik Bülteni

Adobe Commerce için güvenlik güncellemesi mevcut | APSB22-38

Bülten No

Yayınlandığı Tarih

Öncelik

APSB22-38

9 Ağustos 2022
      

3

Özet

Adobe, Adobe Commerce ve Magento Open Source için güvenlik güncellemeleri yayınladı. Bu güncelleme kritikönemli ve orta seviye güvenlik açıklıklarını çözer.  Güvenlik açığından başarılı bir şekilde yararlanılması, rastgele kod yürütülme, ayrıcalığı yükseltme ve güvenlik özelliği atlatmasına neden olabilir.

Etkilenen Sürümler

Ürün Sürüm Platform
 Adobe Commerce 2.4.3-p2 ve önceki sürümler  
Tümü
2.3.7-p3 ve önceki sürümler   Tümü
Adobe Commerce
2.4.4 ve önceki sürümler  
Tümü
Magento Open Source

2.4.3-p2 ve önceki sürümler       

Tümü
2.3.7-p3 ve önceki sürümler Tümü
Magento Open Source
2.4.4 ve önceki sürümler  
Tümü

Çözüm

Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.

Ürün Güncel sürüm Platform Öncelik Derecelendirmesi Kurulum Talimatları
Adobe Commerce
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Tümü
3

2.4.x sürüm notları

2.3.x sürüm notları

Magento Open Source 
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Tümü
3

Güvenlik Açığı Detayları

Güvenlik Açığı Kategorisi Güvenlik Açığı Etkisi Önem Derecesi Açıktan yararlanma için kimlik doğrulama gerekli mi? Açıktan yararlanma yönetici ayrıcalıkları gerektiriyor mu?
CVSS baz skoru
CVSS vektörü
Magento Bug ID CVE sayısı
XML Enjeksiyonu (aka Blind XPath Enjeksiyonu) (CWE-91)
Rastgele kod yürütme
Kritik Evet Evet 9.1 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
PRODSECBUG-3095
CVE-2022-34253
Bir Yol Adının Kısıtlı Bir Dizinle Uygunsuz Şekilde Sınırlanması ('Yol Geçişi') CWE-22)
Rastgele kod yürütme
Kritik Evet No 8.5 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
PRODSECBUG-3081
CVE-2022-34254
Uygunsuz Giriş Doğrulaması (CWE-20)
Ayrıcalığı yükseltme
Kritik Evet No  8.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
PRODSECBUG-3082
CVE-2022-34255
Uygunsuz Yetkilendirme (CWE-285)
Ayrıcalığı yükseltme
Kritik No No 8.2 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
PRODSECBUG-3093
CVE-2022-34256
Siteler Arası Betik (Depolanan XSS) (CWE-79)
Rastgele kod yürütme
Önemli No No 6.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
PRODSECBUG-3079
CVE-2022-34257
Siteler Arası Betik (Depolanan XSS) (CWE-79)
Rastgele kod yürütme
Orta Dereceli Evet Evet 3.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N
PRODSECBUG-3080
CVE-2022-34258
Uygunsuz Erişim Kontrolü (CWE-284)
Güvenlik özelliği atlatması
Önemli No No 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-34259
Uygunsuz Yetkilendirme (CWE-285)
Güvenlik özelliği atlatması
Orta Dereceli
No No 3.7 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
PRODSECBUG-3151
CVE-2022-35692
Uygunsuz Giriş Doğrulaması (CWE-20)
Ayrıcalığı yükseltme
Kritik Evet No 8.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3196
CVE-2022-42344

 

Teşekkür

Adobe, bu sorunu bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:

  • zb3 (zb3) -- CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
  • Edgar Boda-Majer (eboda) - CVE-2022-34254, CVE-2022-34257
  • Salman Khan (salmanbabuzai) - CVE-2022-34258
  • Axel Flamcourt (axfla) - CVE-2022-34259,CVE-2022-35692
  • fqdn - CVE-2022-42344

 

Değişiklikler

18 Ekim 2022: CVE-2022-42344 eklendi

22 Ağustos 2022: Çözüm tablosunda öncelik derecelendirmesi revizyonu

18 Ağustos 2022: CVE-2022-35692 eklendi

12 Ağustos 2022: "Açıktan yararlanma için kimlik doğrulama gerekli" ve "Açıktan yararlanma için yönetici ayrıcalıkları gerekiyor" bölümlerindeki değerler güncellendi.



 


Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.

 Adobe

Daha hızlı ve daha kolay yardım alın

Yeni kullanıcı mısınız?