Tiedotteen tunnus
Päivitetty viimeksi
25. helmikuuta 2022
Adobe Commercen tietoturvapäivitys| APSB22-12
|
|
Julkaisupäivä |
Viimeksi päivitetty |
Prioriteetti |
|---|---|---|---|
|
APSB22-12 |
13. helmikuuta 2022 |
17. helmikuuta 2022 |
1 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksiä Adobe Commercea ja Magento Open Sourcea varten. Nämä päivitykset ratkaisevat kriittisen haavoittuvuuden. Haavoittuvuuksien onnistunut hyödyntäminen voi johtaa satunnaisten koodien suorittamiseen.
Päivittääkseen suojauksensa asiakkaiden on otettava käyttöön kaksi korjaustiedostoa: ensin MDVA-43395 ja sen jälkeen MDVA-43443.
Adobe on tietoinen siitä, että haavoittuvuutta CVE-2022-24086 on hyödynnetty hyvin rajoitetuissa hyökkäyksissä, jotka kohdistuvat Adobe Commerce -kauppiaisiin.
Versiot
| Tuote | Versio | Ympäristö |
|---|---|---|
| Adobe Commerce | 2.4.3-p1 ja aiemmat versiot |
Kaikki |
| 2.3.7-p2 ja aiemmat versiot |
Kaikki |
|
| Magento Open Source |
2.4.3-p1 ja aiemmat versiot |
Kaikki |
| 2.3.7-p2 ja aiemmat versiot | Kaikki |
Huomautus: Tämä ei vaikuta Adobe Commerce- ja Magento Open Source -versioihin 2.3.0–2.3.3.
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
| Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Asennusohjeet |
|---|---|---|---|---|
Adobe Commerce 2.4.3–2.4.3-p1
|
Kaikki |
1 |
||
Adobe Commerce 2.3.4-p2–2.4.2-p2
Magento Open Source 2.3.4-p2–2.4.2-p2 |
||||
Adobe Commerce 2.3.3-p1–2.3.4
Magento Open Source 2.3.3-p1–2.3.4 |
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | Vaatiiko hyödyntäminen tunnistautumista? | Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia? |
CVSS-peruspisteet |
CVSS-vektori |
Magenton ohjelmavirheen tunnus | CVE-numerot |
|---|---|---|---|---|---|---|---|---|
Virheellinen syötteen tarkistus (CWE-20) |
Mielivaltaisen koodin suoritus |
Kriittinen |
Ei |
Ei |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3118 |
CVE-2022-24086
|
| Virheellinen syötteen tarkistus (CWE-20) |
Mielivaltaisen koodin suoritus |
Kriittinen |
Ei | Ei | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3120 |
CVE-2022-24087 |
Versiot
17. helmikuuta 2022:
– Päivitetty versiot, joita CVE-2022-24086 koskee
– Päivitetty haavoittuvuuden CVE-2022-24087 CVE-tiedot ja kiitokset
14. helmikuuta 2022:
– Selvennetty Lisätietoja haavoittuvuuksista -taulukon sarakkeiden otsikoita
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita tästä ongelmasta ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Eboda & Blaklis (CVE-2022-24087)
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
