ID bollettino
Aggiornamento di sicurezza disponibile per Adobe Commerce | APSB22-12
|
Data di pubblicazione |
Data dell'ultimo aggiornamento |
Priorità |
---|---|---|---|
APSB22-12 |
13 febbraio 2022 |
17 febbraio 2022 |
1 |
Riepilogo
Adobe ha rilasciato degli aggiornamenti per Adobe Commerce e Magento Open Source. Questi aggiornamenti risolvono una vulnerabilità classificata come critica. Un eventuale sfruttamento potrebbe provocare l'esecuzione di codice arbitrario.
Per restare al passo con le protezioni più aggiornate i clienti devono applicare due patch in sequenza: prima MDVA-43395 e quindi MDVA-43443.
Adobe è consapevole che la vulnerabilità CVE-2022-24086 è stata sfruttata in un numero molto limitato di attacchi mirati ai commercianti di Adobe Commerce.
Versioni interessate
Prodotto | Versione | Piattaforma |
---|---|---|
Adobe Commerce | 2.4.3-p1 e versioni precedenti |
Tutte |
2.3.7-p2 e versioni precedenti |
Tutte |
|
Magento Open Source |
2.4.3-p1 e versioni precedenti |
Tutte |
2.3.7-p2 e versioni precedenti | Tutte |
Note: le versioni di Adobe Commerce e Magento Open Source da 2.3.0 a 2.3.3 non sono interessate.
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
Prodotto | Versione aggiornata | Piattaforma | Livello di priorità | Istruzioni per l’installazione |
---|---|---|---|---|
Adobe Commerce 2.4.3 - 2.4.3-p1
|
Tutte |
1 |
||
Adobe Commerce 2.3.4-p2 - 2.4.2-p2
Magento Open Source 2.3.4-p2 - 2.4.2-p2 |
||||
Adobe Commerce 2.3.3-p1 - 2.3.4
Magento Open Source 2.3.3-p1 - 2.3.4 |
Dettagli della vulnerabilità
Categoria della vulnerabilità | Impatto della vulnerabilità | Gravità | Autenticazione obbligatoria per l'utilizzo? | L'utilizzo richiede i privilegi di amministratore? |
Punteggio base CVSS |
Vettore CVSS |
Magento Bug ID | Codice/i CVE |
---|---|---|---|---|---|---|---|---|
Convalida dell'input non corretta (CWE-20) |
Esecuzione di codice arbitrario |
Critica |
No |
No |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3118 |
CVE-2022-24086
|
Convalida dell'input non corretta (CWE-20) |
Esecuzione di codice arbitrario |
Critica |
No | No | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3120 |
CVE-2022-24087 |
Revisioni
17 febbraio 2022:
- Versioni interessate aggiornate per CVE-2022-24086
- Dettagli CVE aggiornati e conferme per la vulnerabilità CVE-2022-24087
14 febbraio 2022:
- Intestazioni colonna più chiare nella tabella Dettagli della vulnerabilità
Ringraziamenti
Adobe desidera ringraziare i ricercatori seguenti per la segnalazione del problema e la collaborazione alla protezione dei clienti:
- Eboda & Blaklis (CVE-2022-24087)
Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un'e-mail a PSIRT@adobe.com.