Adobe 安全公告

搜索

Adobe Commerce 的安全更新 | APSB22-12

公告 ID

发布日期

上次更新日期

优先级

APSB22-12

2022 年 2 月 13 日
      

2022 年 2 月 17 日

1

摘要

Adobe 发布了 Adobe Commerce 和 Magento Open Source 的安全更新。这些更新修复了一个重要漏洞。 如有不法分子恶意利用这些漏洞,可能会导致执行异常代码。

为了保持最新的防护状态,客户必须运行两个补丁程序:先运行 MDVA-43395,然后运行 MDVA-43443。 

Adobe 注意到,CVE-2022-24086 已被广泛用来实施针对 Adobe Commerce 商家的非常有限的攻击。     

受影响的版本

产品 版本 平台
 Adobe Commerce 2.4.3-p1 及更早版本  
 全部
2.3.7-p2 及更早版本
 全部
Magento Open Source

2.4.3-p1 及更早版本       

 全部
2.3.7-p2 及更早版本 全部

备注:Adobe Commerce 和 Magento Open Source 2.3.0 至 2.3.3 版本不受影响。

解决方案

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本。

产品 更新后的版本 平台 优先级 安装说明

Adobe Commerce 2.4.3 - 2.4.3-p1


Magento Open Source 2.4.3 - 2.4.3-p1

 全部

发行说明

Adobe Commerce 2.3.4-p2 - 2.4.2-p2

 

Magento Open Source 2.3.4-p2 - 2.4.2-p2

Adobe Commerce 2.3.3-p1 - 2.3.4

 

Magento Open Source 2.3.3-p1 - 2.3.4

漏洞详情

漏洞类别 漏洞影响 严重性 利用漏洞需要验证身份? 利用漏洞需要管理员权限?
 CVSS 基础评分
 CVSS 向量
 Magento 错误 ID CVE 编号

不当的输入验证 (CWE-20

任意代码执行 

关键

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

 PRODSECBUG-3118

CVE-2022-24086

 
不当的输入验证 (CWE-20
 任意代码执行 
 关键
 9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
 PRODSECBUG-3120
 CVE-2022-24087

 

修订

2022 年 2 月 17 日:

      - 更新了受 CVE-2022-24086 影响的版本

      - 更新了 CVE-2022-24087 的详情和鸣谢部分

2022 年 2 月 14 日: 

      - 澄清了在“漏洞详情”表中的列标题

鸣谢

Adobe 衷心感谢以下研究人员报告此问题并与 Adobe 一起保护我们的客户:

  • Eboda & Blaklis (CVE-2022-24087)

 

有关更多信息,请访问 https://helpx.adobe.com/cn/security.html,或发送电子邮件至 PSIRT@adobe.com。

更快、更轻松地获得帮助

新用户?

快速链接

查看您的所有计划 管理您的计划
查看快速链接
隐藏快速链接