Adobe-Sicherheitsbulletin

Sicherheits-Update für Adobe Commerce verfügbar | APSB22-12

Bulletin-ID

Veröffentlichungsdatum

Zuletzt aktualisiert am

Priorität

APSB22-12

13. Februar 2022
      

17. Februar 2022

1

Zusammenfassung

Adobe hat Updates für Adobe Commerce- und Magento Open Source-Editionen veröffentlicht. Diese Updates schließen eine Schwachstelle, die als kritisch eingestuft wurde. Eine erfolgreiche Ausnutzung könnte zu willkürlicher Ausführung von Code führen. 

Um bei Schutzmaßnahmen auf dem neuesten Stand zu bleiben, müssen Kunden zwei Patches anwenden: zuerst den Patch MDVA-43395 und anschließend MDVA-43443. 

Adobe ist bekannt, dass CVE-2022-24086 in sehr begrenzten Angriffen auf Adobe Commerce-Händler ausgenutzt wurde.     

Betroffene Versionen

Produkt Version Plattform
 Adobe Commerce 2.4.3-p1 und frühere Versionen  
Alle
2.3.7-p2 und frühere Versionen  
Alle
Magento Open Source

2.4.3-p1 und frühere Versionen       

Alle
2.3.7-p2 und frühere Versionen Alle

Hinweis: Adobe Commerce und Magento Open Source Versionen 2.3.0 bis 2.3.3 sind nicht betroffen.

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.

Produkt Aktualisierte Version Plattform Priorität Installationsanweisungen

Adobe Commerce 2.4.3 – 2.4.3-p1


Magento Open Source 2.4.3 – 2.4.3-p1

Alle

Versionshinweise

   

Adobe Commerce 2.3.4-p2 – 2.4.2-p2

 

Magento Open Source 2.3.4-p2 – 2.4.2-p2

   

Adobe Commerce 2.3.3-p1 – 2.3.4

 

Magento Open Source 2.3.3-p1 – 2.3.4

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe Exploit erfordert Authentifizierung? Exploit erfordert Admin-Rechte?
CVSS-Basispunktzahl
CVSS-Vektor
Magento-Fehler-ID CVE-Nummern(n)

Unangemessene Eingabevalidierung (CWE-20

Willkürliche Ausführung von Code 

Kritisch

Nein

Nein

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3118

CVE-2022-24086

 

Unangemessene Eingabevalidierung (CWE-20
Willkürliche Ausführung von Code 
Kritisch
Nein Nein 9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3120
CVE-2022-24087

 

Überarbeitungen

17. Februar 2022:

      - Aktualisierte betroffene Versionen für CVE-2022-24086

      - Aktualisierte CVE-Details und Danksagungen für CVE-2022-24087

14. Februar 2022: 

      - Klarere Spaltenüberschriften in der Tabelle mit den Schwachstellendetails

Danksagung

Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und für die Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden.

  • Eboda & Blaklis (CVE-2022-24087)

 


Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?