Bülten No
Son güncelleme:
27 Eki 2022
Adobe Commerce için güvenlik güncellemesi mevcut | APSB22-38
|
|
Yayınlandığı Tarih |
Öncelik |
|---|---|---|
|
APSB22-38 |
9 Ağustos 2022 |
3 |
Özet
Adobe, Adobe Commerce ve Magento Open Source için güvenlik güncellemeleri yayınladı. Bu güncelleme kritik, önemli ve orta seviye güvenlik açıklıklarını çözer. Güvenlik açığından başarılı bir şekilde yararlanılması, rastgele kod yürütülme, ayrıcalığı yükseltme ve güvenlik özelliği atlatmasına neden olabilir.
Etkilenen Sürümler
| Ürün | Sürüm | Platform |
|---|---|---|
| Adobe Commerce | 2.4.3-p2 ve önceki sürümler |
Tümü |
| 2.3.7-p3 ve önceki sürümler | Tümü |
|
| Adobe Commerce |
2.4.4 ve önceki sürümler |
Tümü |
| Magento Open Source |
2.4.3-p2 ve önceki sürümler |
Tümü |
| 2.3.7-p3 ve önceki sürümler | Tümü | |
| Magento Open Source |
2.4.4 ve önceki sürümler |
Tümü |
Çözüm
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.
| Ürün | Güncel sürüm | Platform | Öncelik Derecelendirmesi | Kurulum Talimatları |
|---|---|---|---|---|
| Adobe Commerce |
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5 |
Tümü |
3 | |
| Magento Open Source |
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5 |
Tümü |
3 |
Güvenlik Açığı Detayları
| Güvenlik Açığı Kategorisi | Güvenlik Açığı Etkisi | Önem Derecesi | Açıktan yararlanma için kimlik doğrulama gerekli mi? | Açıktan yararlanma yönetici ayrıcalıkları gerektiriyor mu? |
CVSS baz skoru |
CVSS vektörü |
Magento Bug ID | CVE sayısı |
|---|---|---|---|---|---|---|---|---|
| XML Enjeksiyonu (aka Blind XPath Enjeksiyonu) (CWE-91) |
Rastgele kod yürütme |
Kritik | Evet | Evet | 9.1 | CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3095 |
CVE-2022-34253 |
| Bir Yol Adının Kısıtlı Bir Dizinle Uygunsuz Şekilde Sınırlanması ('Yol Geçişi') CWE-22) |
Rastgele kod yürütme |
Kritik | Evet | No | 8.5 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
PRODSECBUG-3081 |
CVE-2022-34254 |
| Uygunsuz Giriş Doğrulaması (CWE-20) |
Ayrıcalığı yükseltme |
Kritik | Evet | No | 8.3 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
PRODSECBUG-3082 |
CVE-2022-34255 |
| Uygunsuz Yetkilendirme (CWE-285) |
Ayrıcalığı yükseltme |
Kritik | No | No | 8.2 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
PRODSECBUG-3093 |
CVE-2022-34256 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | No | No | 6.1 | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
PRODSECBUG-3079 |
CVE-2022-34257 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Orta Dereceli | Evet | Evet | 3.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N |
PRODSECBUG-3080 |
CVE-2022-34258 |
| Uygunsuz Erişim Kontrolü (CWE-284) |
Güvenlik özelliği atlatması |
Önemli | No | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
PRODSECBUG-3180 |
CVE-2022-34259 |
| Uygunsuz Yetkilendirme (CWE-285) |
Güvenlik özelliği atlatması |
Orta Dereceli |
No | No | 3.7 | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
PRODSECBUG-3151 |
CVE-2022-35692 |
| Uygunsuz Giriş Doğrulaması (CWE-20) |
Ayrıcalığı yükseltme |
Kritik | Evet | No | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3196 |
CVE-2022-42344 |
Teşekkür
Adobe, bu sorunu bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:
- zb3 (zb3) -- CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
- Edgar Boda-Majer (eboda) - CVE-2022-34254, CVE-2022-34257
- Salman Khan (salmanbabuzai) - CVE-2022-34258
- Axel Flamcourt (axfla) - CVE-2022-34259,CVE-2022-35692
- fqdn - CVE-2022-42344
Değişiklikler
18 Ekim 2022: CVE-2022-42344 eklendi
22 Ağustos 2022: Çözüm tablosunda öncelik derecelendirmesi revizyonu
18 Ağustos 2022: CVE-2022-35692 eklendi
12 Ağustos 2022: "Açıktan yararlanma için kimlik doğrulama gerekli" ve "Açıktan yararlanma için yönetici ayrıcalıkları gerekiyor" bölümlerindeki değerler güncellendi.
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.
