Bezpečnostní bulletin společnosti Adobe

Hledat

Naposledy aktualizováno 25. 2. 2022

Zveřejnění aktualizace zabezpečení pro aplikaci Adobe Commerce| APSB22-12

ID bulletinu	Datum zveřejnění	Datum poslední aktualizace	Priorita
APSB22-12	13. února 2022	17. února 2022	1

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro software Adobe Commerce a Magento Open Source. Tyto aktualizace řeší chybu zabezpečení hodnocenou jako kritická. Úspěšné zneužití by mohlo vést ke svévolnému spuštění kódu.

Aby zákazníci měli k dispozici nejnovější možnou ochranu, musí si stáhnout dvě opravy: Nejprve opravu MDVA-43395 a poté MDVA-43443.

Společnost Adobe si je vědoma toho, že chyba CVE-2022-24086 byla ve velmi omezené míře zneužita při útocích, které cílily na obchodníky s aplikací Adobe Commerce.

Postižené verze

Produkt	Verze	Platforma
Adobe Commerce	2.4.3-p1 a starší verze	Vše
Adobe Commerce	2.3.7-p2 a starší verze	Vše
Magento Open Source	2.4.3-p1 a starší verze	Vše
Magento Open Source	2.3.7-p2 a starší verze	Vše

Poznámka: Aplikace Adobe Commerce a Magento Open Source ve verzi od 2.3.0 do 2.3.3 nejsou ovlivněny.

Řešení

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.

Produkt	Aktualizovaná verze	Platforma	Úroveň priority	Pokyny pro instalaci
Adobe Commerce 2.4.3 až 2.4.3-p1 Magento Open Source 2.4.3 až 2.4.3-p1	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip a MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip a MDVA-43443_EE_2.4.3-p1_v1.patch.zip	Vše	1	Poznámky k verzi

Adobe Commerce 2.3.4-p2 až 2.4.2-p2 Magento Open Source 2.3.4-p2 až 2.4.2-p2	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip a MDVA-43443_EE_2.4.2-p2_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip a MDVA-43443_EE_2.4.2-p2_v1.patch.zip

Adobe Commerce 2.3.3-p1 až 2.3.4 Magento Open Source 2.3.3-p1 až 2.3.4	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip a MDVA-43443_EE_2.3.4_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip a MDVA-43443_EE_2.3.4_v1.patch.zip

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení	Dopad chyby zabezpečení	Závažnost	Je ke zneužití vyžadováno ověření?	Je ke zneužití nutné mít oprávnění správce?	Základní hodnocení CVSS	Vektor CVSS	ID chyby Magento	Čísla CVE
Nesprávné ověření vstupu (CWE-20)	Svévolné spuštění kódu	Kritická	Ne	Ne	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	PRODSECBUG-3118	CVE-2022-24086
Nesprávné ověření vstupu (CWE-20)	Svévolné spuštění kódu	Kritická	Ne	Ne	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	PRODSECBUG-3120	CVE-2022-24087

Kategorie chyby zabezpečení

Dopad chyby zabezpečení

Závažnost

Je ke zneužití vyžadováno ověření?

Je ke zneužití nutné mít oprávnění správce?

Základní hodnocení CVSS

Vektor CVSS

ID chyby Magento

Čísla CVE

Nesprávné ověření vstupu (CWE-20)

Svévolné spuštění kódu

Kritická

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3118

CVE-2022-24086

Nesprávné ověření vstupu (CWE-20)

Svévolné spuštění kódu

Kritická

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3120

CVE-2022-24087

Revize

17. února 2022:

– Aktualizované verze pro CVE-2022-24086

– Aktualizované podrobnosti CVE a poděkování za CVE-2022-24087

14. února 2022:

– Upřesnění záhlaví sloupců v tabulce s chybami zabezpečení

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:

Eboda & Blaklis (CVE-2022-24087)

Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.

Získejte pomoc rychleji a snáze

Nový uživatel?