安全性公告 ID
上次更新時間
2022年2月25日
發佈 Adobe Commerce 的安全性更新 | APSB22-12
|
|
發佈日期 |
上次更新日期 |
優先順序 |
|---|---|---|---|
|
APSB22-12 |
2022 年 2 月 13 日 |
2022 年 2 月 17 日 |
1 |
摘要
Adobe 已發佈 Adobe Commerce 與 Magento Open Source 的安全性更新。這些更新旨在解決一項重大弱點。 這些弱點一旦遭有心人士利用,可能會導致系統執行任意程式碼。
為了隨時更新防護,客戶必須套用兩個修補程式:首先為 MDVA-43395 修補程式,然後再執行 MDVA-43443。
Adobe 知悉 CVE-2022-24086 仍在極小部份對 Adobe Commerce 商家的攻擊中被利用。
受影響的版本
| 產品 | 版本 | 平台 |
|---|---|---|
| Adobe Commerce | 2.4.3-p1 (含) 以前版本 |
全部 |
| 2.3.7-p2 (含) 以前版本 |
全部 |
|
| Magento Open Source |
2.4.3-p1 (含) 以前版本 |
全部 |
| 2.3.7-p2 (含) 以前版本 | 全部 |
備註:並未影響 Adobe Commerce 和 Magento Open Source 2.3.0 至 2.3.3 版本
解決方法
Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本。
| 產品 | 已更新的版本 | 平台 | 優先順序分級 | 安裝說明 |
|---|---|---|---|---|
Adobe Commerce 2.4.3 - 2.4.3-p1
|
全部 |
1 |
||
Adobe Commerce 2.3.4-p2 - 2.4.2-p2
Magento Open Source 2.3.4-p2 - 2.4.2-p2 |
||||
Adobe Commerce 2.3.3-p1 - 2.3.4
Magento Open Source 2.3.3-p1 - 2.3.4 |
弱點詳細資料
| 弱點類別 | 弱點影響 | 嚴重性 | 利用漏洞是否需要驗證? | 利用漏洞是否需要管理員權限? |
CVSS 基本評分 |
CVSS 向量 |
Magento 錯誤 ID | CVE 編號 |
|---|---|---|---|---|---|---|---|---|
輸入驗證不當 (CWE-20) |
任意執行程式碼 |
重大 |
否 |
否 |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3118 |
CVE-2022-24086
|
| 輸入驗證不當 (CWE-20) |
任意執行程式碼 |
重大 |
否 | 否 | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3120 |
CVE-2022-24087 |
修訂
2022 年 2 月 17 日:
- 已更新 CVE-2022-24086 的受影響版本
- 更新了 CVE-2022-24087 的 CVE 詳細資訊和鳴謝
2022 年 2 月 14 日:
- 闡清了弱點詳細資料表列標題有疑義之處
鳴謝
Adobe 在此感謝以下研究人員回報此問題,與 Adobe 共同保護我們的客戶:
- Eboda 和 Blaklis (CVE-2022-24087)
如需詳細資訊,請造訪 https://helpx.adobe.com/tw/security.html,或傳送電子郵件至 PSIRT@adobe.com.
