情報 ID
最終更新日 :
2022年10月27日
Adobe Commerce に関するセキュリティアップデート公開 | APSB22-48
|
|
公開日 |
優先度 |
|---|---|---|
|
APSB22-48 |
2022 年 10 月 11 日 |
3 |
要約
対象のバージョン
| 製品名 | バージョン | プラットフォーム |
|---|---|---|
| Adobe Commerce |
2.4.4-p1 以前のバージョン |
すべて |
| 2.4.5 以前のバージョン |
すべて |
|
| 2.4.3-p3 以前のバージョン | すべて | |
| Magento Open Source | 2.4.4-p1 以前のバージョン | すべて |
| 2.4.5 以前のバージョン |
すべて |
|
| 2.4.3-p3 以前のバージョン |
すべて |
注意:
- 該当するすべてのセキュリティ修正プログラムが適用されている場合、2.4.3-p1 および 2.4.3-p1 以前のバージョンは影響を受けません。
解決策
アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。
| 製品名 | アップデートバージョン | プラットフォーム | 優先度評価 | インストール手順 |
|---|---|---|---|---|
| Adobe Commerce |
2.4.5-p1 および 2.4.4-p2 |
すべて |
3 | 2.4.x リリースノート |
| Magento Open Source |
2.4.5-p1 および 2.4.4-p2 |
すべて |
3 | |
| Adobe Commerce |
2.4.3-p3_Hotfix |
すべて |
3 | ACSD-47578 パッチ |
| Magento Open Source |
2.4.3-p3_Hotfix |
すべて |
3 |
脆弱性に関する詳細
| 脆弱性のカテゴリー | 脆弱性の影響 | 深刻度 | 悪用する場合に認証が必要か? | 悪用する場合に管理者権限が必要か? |
CVSS 基本スコア |
CVSS ベクター |
Magento Bug ID | CVE 番号 |
|---|---|---|---|---|---|---|---|---|
| クロスサイトスクリプティング (保存済み XSS) (CWE-79) |
任意のコード実行 |
クリティカル | いいえ | いいえ | 10.0 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3177 |
CVE-2022-35698 |
| 不正なアクセス制御 (CWE-284) |
セキュリティ機能のバイパス |
Medium (M) | はい | いいえ | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
PRODSECBUG-3180 |
CVE-2022-35689 |
謝辞
この問題を報告し、ユーザーの保護にご協力いただいた以下の研究者の皆様に対し、アドビより厚く御礼を申し上げます。
- Blaklis 氏(blaklis)- CVE-2022-35698
更新履歴
2022年 10 月 12 日:CVE-2022-35689 の CVE 詳細情報を追加
2022 年 10 月 18 日:2.4.3.x の影響/修正に関する詳細情報を追加
更新履歴
2022 年 8 月 22 日:ソリューションテーブルの優先度評価の改正
2022 年 8 月 18 日:CVE-2022-35692 追加
2022 年 8 月 12 日:「利用する場合に必要な認証」および「利用する場合に必要な管理者権限」の値が更新されました。
詳しくは、https://helpx.adobe.com/jp/security.html を参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。
