Bollettino sulla sicurezza di Adobe

Aggiornamento di sicurezza disponibile per Adobe Commerce | APSB22-12

ID bollettino

Data di pubblicazione

Data dell'ultimo aggiornamento

Priorità

APSB22-12

13 febbraio 2022
      

17 febbraio 2022

1

Riepilogo

Adobe ha rilasciato degli aggiornamenti per Adobe Commerce e Magento Open Source. Questi aggiornamenti risolvono una vulnerabilità classificata come critica. Un eventuale sfruttamento potrebbe provocare l'esecuzione di codice arbitrario. 

Per restare al passo con le protezioni più aggiornate i clienti devono applicare due patch in sequenza: prima MDVA-43395 e quindi MDVA-43443. 

Adobe è consapevole che la vulnerabilità CVE-2022-24086 è stata sfruttata in un numero molto limitato di attacchi mirati ai commercianti di Adobe Commerce.     

Versioni interessate

Prodotto Versione Piattaforma
 Adobe Commerce 2.4.3-p1 e versioni precedenti  
Tutte
2.3.7-p2 e versioni precedenti  
Tutte
Magento Open Source

2.4.3-p1 e versioni precedenti       

Tutte
2.3.7-p2 e versioni precedenti Tutte

Note: le versioni di Adobe Commerce e Magento Open Source da 2.3.0 a 2.3.3 non sono interessate.

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.

Prodotto Versione aggiornata Piattaforma Livello di priorità Istruzioni per l’installazione

Adobe Commerce 2.4.3 - 2.4.3-p1


Magento Open Source 2.4.3 - 2.4.3-p1

Tutte

Note sul rilascio

   

Adobe Commerce 2.3.4-p2 - 2.4.2-p2

 

Magento Open Source 2.3.4-p2 - 2.4.2-p2

   

Adobe Commerce 2.3.3-p1 - 2.3.4

 

Magento Open Source 2.3.3-p1 - 2.3.4

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Autenticazione obbligatoria per l'utilizzo? L'utilizzo richiede i privilegi di amministratore?
Punteggio base CVSS
Vettore CVSS
Magento Bug ID Codice/i CVE

Convalida dell'input non corretta (CWE-20

Esecuzione di codice arbitrario 

Critica

No

No

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3118

CVE-2022-24086

 

Convalida dell'input non corretta (CWE-20
Esecuzione di codice arbitrario 
Critica
No No 9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3120
CVE-2022-24087

 

Revisioni

17 febbraio 2022:

      - Versioni interessate aggiornate per CVE-2022-24086

      - Dettagli CVE aggiornati e conferme per la vulnerabilità CVE-2022-24087

14 febbraio 2022: 

      - Intestazioni colonna più chiare nella tabella Dettagli della vulnerabilità

Ringraziamenti

Adobe desidera ringraziare i ricercatori seguenti per la segnalazione del problema e la collaborazione alla protezione dei clienti:

  • Eboda & Blaklis (CVE-2022-24087)

 


Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un'e-mail a PSIRT@adobe.com.

Logo Adobe

Accedi al tuo account

[Feedback V2 Badge]