Boletim de segurança da Adobe

Pesquisar

Última atualização em 25 de fev de 2022

Atualização de segurança disponível para o Adobe Commerce | APSB22-12

ID do boletim	Data de publicação	Última atualização	Prioridade
APSB22-12	13 de fevereiro de 2022	17 de fevereiro de 2022	1

Resumo

A Adobe lançou atualizações de segurança para o Adobe Commerce e o Magento Open Source. Essas atualizações resolvem uma vulnerabilidade classificada como crítica. A exploração bem-sucedida poderia levar a uma execução de código arbitrária.

Para manter-se atualizado com as últimas proteções, os clientes devem aplicar duas correções: MDVA-43395 primeiro, e depois MDVA-43443 em cima dele.

A Adobe está ciente de que o CVE-2022-24086 tem sido explorado na Web em ataques muito limitados contra os comerciantes da Adobe Commerce.

Versões afetadas

Produto	Versão	Plataforma
Adobe Commerce	2.4.3-p1 e versões anteriores	Todos
Adobe Commerce	2.3.7-p2 e versões anteriores	Todos
Magento Open Source	2.4.3-p1 e versões anteriores	Todos
Magento Open Source	2.3.7-p2 e versões anteriores	Todos

Nota : As versões 2.3.0 a 2.3.3 do Adobe Commerce e Magento Open Source não são afetadas.

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.

Produto	Versão atualizada	Plataforma	Classificação de prioridade	Instruções de instalação
Adobe Commerce 2.4.3 - 2.4.3-p1 Magento Open Source 2.4.3 - 2.4.3-p1	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip e MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip e MDVA-43443_EE_2.4.3-p1_v1.patch.zip	Todos	1	Notas de versão

Adobe Commerce 2.3.4-p2 - 2.4.2-p2 Magento Open Source 2.3.4-p2 - 2.4.2-p2	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip e MDVA-43443_EE_2.4.2-p2_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip e MDVA-43443_EE_2.4.2-p2_v1.patch.zip

Adobe Commerce 2.3.3-p1 - 2.3.4 Magento Open Source 2.3.3-p1 - 2.3.4	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip e MDVA-43443_EE_2.3.4_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip e MDVA-43443_EE_2.3.4_v1.patch.zip

Detalhes da vulnerabilidade

Categoria da vulnerabilidade	Impacto da vulnerabilidade	Severidade	Autenticação necessária para explorar?	A exploração requer privilégios administrativos?	Pontuação base de CVSS	Vetor CVSS	ID de Bug do Magento	Número(s) CVE
Validação de entrada inadequada (CWE-20)	Execução de código arbitrário	Crítico	Não	Não	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	PRODSECBUG-3118	CVE-2022-24086
Validação de entrada inadequada (CWE-20)	Execução de código arbitrário	Crítico	Não	Não	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	PRODSECBUG-3120	CVE-2022-24087

Categoria da vulnerabilidade

Impacto da vulnerabilidade

Severidade

Autenticação necessária para explorar?

A exploração requer privilégios administrativos?

Pontuação base de CVSS

Vetor CVSS

ID de Bug do Magento

Número(s) CVE

Validação de entrada inadequada (CWE-20)

Execução de código arbitrário

Crítico

Não

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3118

CVE-2022-24086

Validação de entrada inadequada (CWE-20)

Execução de código arbitrário

Crítico

Não

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3120

CVE-2022-24087

Revisões

17 de fevereiro de 2022:

- Versões afetadas atualizadas para CVE-2022-24086

- Detalhes e agradecimentos atualizados do CVE-2022-24087

14 de fevereiro de 2022:

- Cabeçalhos de coluna esclarecidos na tabela Detalhes de vulnerabilidade

Agradecimentos

A Adobe gostaria de agradecer aos seguintes pesquisadores por terem relatado esse problema e trabalhado com a Adobe para ajudar a proteger nossos clientes:

Eboda & Blaklis (CVE-2022-24087)

Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.

Receba ajuda com mais rapidez e facilidade

Novo usuário?