Bulletin-ID
Sicherheits-Update für Adobe Commerce verfügbar | APSB22-12
|
Veröffentlichungsdatum |
Zuletzt aktualisiert am |
Priorität |
---|---|---|---|
APSB22-12 |
13. Februar 2022 |
17. Februar 2022 |
1 |
Zusammenfassung
Adobe hat Updates für Adobe Commerce- und Magento Open Source-Editionen veröffentlicht. Diese Updates schließen eine Schwachstelle, die als kritisch eingestuft wurde. Eine erfolgreiche Ausnutzung könnte zu willkürlicher Ausführung von Code führen.
Um bei Schutzmaßnahmen auf dem neuesten Stand zu bleiben, müssen Kunden zwei Patches anwenden: zuerst den Patch MDVA-43395 und anschließend MDVA-43443.
Adobe ist bekannt, dass CVE-2022-24086 in sehr begrenzten Angriffen auf Adobe Commerce-Händler ausgenutzt wurde.
Betroffene Versionen
Produkt | Version | Plattform |
---|---|---|
Adobe Commerce | 2.4.3-p1 und frühere Versionen |
Alle |
2.3.7-p2 und frühere Versionen |
Alle |
|
Magento Open Source |
2.4.3-p1 und frühere Versionen |
Alle |
2.3.7-p2 und frühere Versionen | Alle |
Hinweis: Adobe Commerce und Magento Open Source Versionen 2.3.0 bis 2.3.3 sind nicht betroffen.
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
Produkt | Aktualisierte Version | Plattform | Priorität | Installationsanweisungen |
---|---|---|---|---|
Adobe Commerce 2.4.3 – 2.4.3-p1
|
Alle |
1 |
||
Adobe Commerce 2.3.4-p2 – 2.4.2-p2
Magento Open Source 2.3.4-p2 – 2.4.2-p2 |
||||
Adobe Commerce 2.3.3-p1 – 2.3.4
Magento Open Source 2.3.3-p1 – 2.3.4 |
Sicherheitslückendetails
Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | Exploit erfordert Authentifizierung? | Exploit erfordert Admin-Rechte? |
CVSS-Basispunktzahl |
CVSS-Vektor |
Magento-Fehler-ID | CVE-Nummern(n) |
---|---|---|---|---|---|---|---|---|
Unangemessene Eingabevalidierung (CWE-20) |
Willkürliche Ausführung von Code |
Kritisch |
Nein |
Nein |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3118 |
CVE-2022-24086
|
Unangemessene Eingabevalidierung (CWE-20) |
Willkürliche Ausführung von Code |
Kritisch |
Nein | Nein | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3120 |
CVE-2022-24087 |
Überarbeitungen
17. Februar 2022:
- Aktualisierte betroffene Versionen für CVE-2022-24086
- Aktualisierte CVE-Details und Danksagungen für CVE-2022-24087
14. Februar 2022:
- Klarere Spaltenüberschriften in der Tabelle mit den Schwachstellendetails
Danksagung
Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und für die Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden.
- Eboda & Blaklis (CVE-2022-24087)
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.