Adobe sikkerhedsbulletin

Søg

Sidst opdateret den 25. feb. 2022

Der er en sikkerhedsopdatering til Adobe Commerce | APSB22-12

Bulletin-ID	Udgivelsesdato	Seneste opdatering	Prioritet
APSB22-12	13. februar 2022	17. februar 2022	1

Resumé

Adobe har frigivet sikkerhedsopdateringer til Adobe Commerce og Magento Open Source. Disse opdateringer løser et sikkerhedsproblem, der klassificeres som kritisk. Udnyttelse af dette sikkerhedshul kan medføre vilkårlig kodekørsel.

For at være opdateret med de nyeste beskyttelsesforanstaltninger skal kunderne installere to sikkerhedsrettelser: først MDVA-43395 og derefter MDVA-43443.

Adobe er klar over, at CVE-2022-24086 er blevet udnyttet et begrænset antal angreb rettet mod brugere af Adobe Commerce.

Berørte versioner

Produkt	Version	Platform
Adobe Commerce	2.4.3-p1 og tidligere versioner	Alle
Adobe Commerce	2.3.7-p2 og tidligere versioner	Alle
Magento Open Source	2.4.3-p1 og tidligere versioner	Alle
Magento Open Source	2.3.7-p2 og tidligere versioner	Alle

Bemærk: Adobe Commerce og Magento Open Source-version 2.3.0 til 2.3.3.3 er ikke berørt.

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.

Produkt	Opdateret version	Platform	Prioritetsgrad	Installationsvejledning
Adobe Commerce 2.4.3-2.4.3-p1 Magento Open Source 2.4.3-2.4.3-p1	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip og MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip og MDVA-43443_EE_2.4.3-p1_v1.patch.zip	Alle	1	Produktbemærkninger

Adobe Commerce 2.3.4-p2-2.4.2-p2 Magento Open Source 2.3.4-p2-2.4.2-p2	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip og MDVA-43443_EE_2.4.2-p2_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip og MDVA-43443_EE_2.4.2-p2_v1.patch.zip

Adobe Commerce 2.3.3-p1-2.3.4 Magento Open Source 2.3.3-p1-2.3.4	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip og MDVA-43443_EE_2.3.4_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip og MDVA-43443_EE_2.3.4_v1.patch.zip

Sikkerhedsoplysninger

Sikkerhedskategori	Virkning af sikkerhedsproblem	Alvorlighed	Kræver det autentifikation at udnytte sikkerhedshullet?	Kræver det administratorrettigheder at udnytte sikkerhedshullet?	CVSS-basisscore	CVSS-vektor	Magento Bug ID	CVE-nummer/numre
Ukorrekt input-validering (CWE-20)	Vilkårlig kodekørsel	Kritisk	Nej	Nej	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	PRODSECBUG-3118	CVE-2022-24086
Ukorrekt input-validering (CWE-20)	Vilkårlig kodekørsel	Kritisk	Nej	Nej	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	PRODSECBUG-3120	CVE-2022-24087

Sikkerhedskategori

Virkning af sikkerhedsproblem

Alvorlighed

Kræver det autentifikation at udnytte sikkerhedshullet?

Kræver det administratorrettigheder at udnytte sikkerhedshullet?

CVSS-basisscore

CVSS-vektor

Magento Bug ID

CVE-nummer/numre

Ukorrekt input-validering (CWE-20)

Vilkårlig kodekørsel

Kritisk

Nej

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3118

CVE-2022-24086

Ukorrekt input-validering (CWE-20)

Vilkårlig kodekørsel

Kritisk

Nej

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3120

CVE-2022-24087

Revisioner

17. februar 2022:

- Opdatering af berørte versioner for CVE-2022-24086

- Opdatering af CVE-detaljer og anerkendelser for CVE-2022-24087

14. februar 2022:

- Præcisering af kolonneoverskrifter i tabellen Sikkerhedsoplysninger

Tak til følgende personer

Adobe vil gerne takke følgende researchere at rapportere dette sikkerhedsproblem og for at samarbejde med Adobe for at beskytte vores kunder:

Eboda og Blaklis (CVE-2022-24087)

Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.

Få hjælp hurtigere og nemmere

Ny bruger?