情報 ID
最終更新日 :
2022年10月27日
Adobe Commerce に関するセキュリティアップデート公開 | APSB22-38
|
|
公開日 |
優先度 |
|---|---|---|
|
APSB22-38 |
2022 年 8 月 9 日 |
3 |
要約
対象のバージョン
| 製品名 | バージョン | プラットフォーム |
|---|---|---|
| Adobe Commerce | 2.4.3-p2 以前のバージョン |
すべて |
| 2.3.7-p3 以前のバージョン | すべて |
|
| Adobe Commerce |
2.4.4 以前のバージョン |
すべて |
| Magento Open Source |
2.4.3-p2 以前のバージョン |
すべて |
| 2.3.7-p3 以前のバージョン | すべて | |
| Magento Open Source |
2.4.4 以前のバージョン |
すべて |
解決策
アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。
| 製品名 | アップデートバージョン | プラットフォーム | 優先度評価 | インストール手順 |
|---|---|---|---|---|
| Adobe Commerce |
2.3.7-p4、2.4.3-p3、2.4.4-p1、2.4.5 |
すべて |
3 | |
| Magento Open Source |
2.3.7-p4、2.4.3-p3、2.4.4-p1、2.4.5 |
すべて |
3 |
脆弱性に関する詳細
| 脆弱性のカテゴリー | 脆弱性の影響 | 深刻度 | 悪用する場合に認証が必要か? | 悪用する場合に管理者権限が必要か? |
CVSS 基本スコア |
CVSS ベクター |
Magento Bug ID | CVE 番号 |
|---|---|---|---|---|---|---|---|---|
| XML インジェクション(別名:Blind XPath インジェクション)(CWE-91) |
任意のコード実行 |
クリティカル | はい | はい | 9.1 | CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3095 |
CVE-2022-34253 |
| 制限付きディレクトリへのパス名の制限(「パストラバーサル」)が正しくありません。(CWE-22) |
任意のコード実行 |
クリティカル | はい | いいえ | 8.5 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
PRODSECBUG-3081 |
CVE-2022-34254 |
| 不適切な入力検証(CWE-20) |
権限昇格 |
重大 | はい | いいえ | 8.3 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
PRODSECBUG-3082 |
CVE-2022-34255 |
| 不正な認証(CWE-285) |
権限昇格 |
重大 | いいえ | いいえ | 8.2 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
PRODSECBUG-3093 |
CVE-2022-34256 |
| クロスサイトスクリプティング (保存済み XSS) (CWE-79) |
任意のコード実行 |
重要 | いいえ | いいえ | 6.1 | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
PRODSECBUG-3079 |
CVE-2022-34257 |
| クロスサイトスクリプティング (保存済み XSS) (CWE-79) |
任意のコード実行 |
中度 | はい | はい | 3.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N |
PRODSECBUG-3080 |
CVE-2022-34258 |
| 不正なアクセス制御 (CWE-284) |
セキュリティ機能のバイパス |
重要 | いいえ | いいえ | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
PRODSECBUG-3180 |
CVE-2022-34259 |
| 不正な認証(CWE-285) |
セキュリティ機能のバイパス |
中度 |
いいえ | いいえ | 3.7 | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
PRODSECBUG-3151 |
CVE-2022-35692 |
| 不適切な入力検証(CWE-20) |
権限昇格 |
重大 | はい | いいえ | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3196 |
CVE-2022-42344 |
謝辞
この問題を報告し、ユーザーの保護にご協力いただいた以下の研究者の皆様に対し、アドビより厚く御礼を申し上げます。
- zb3 (zb3) -- CVE-2022-34253、CVE-2022-34255、CVE-2022-34256
- Edgar Boda-Majer 氏(eboda)- CVE-2022-34254、CVE-2022-34257
- Salman Khan 氏(salmanbabuzai)- CVE-2022-34258
- Axel Flamcourt 氏(axfla)- CVE-2022-34259、 CVE-2022-35692
- fqdn - CVE-2022-42344
更新履歴
2022 年 10 月 18 日:CVE-2022-42344 を追加
2022 年 8 月 22 日:ソリューションテーブルの優先度評価の改正
2022 年 8 月 18 日:CVE-2022-35692 追加
2022 年 8 月 12 日:「利用する場合に必要な認証」および「利用する場合に必要な管理者権限」の値が更新されました。
詳しくは、https://helpx.adobe.com/jp/security.html を参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。
