Bulletin de sécurité Adobe

Rechercher

Dernière mise à jour le 25 févr. 2022

Mise à jour de sécurité disponible pour Adobe Commerce | APSB22-12

Référence du bulletin	Date de publication	Dernière mise à jour	Priorité
APSB22-12	13 février 2022	17 février 2022	1

Récapitulatif

Adobe a publié des mises à jour de sécurité pour Adobe Commerce et Magento Open Source. Ces mises à jour résolvent une vulnérabilité jugée importante. L’exploitation réussie de cette vulnérabilité peut entraîner l’exécution de code arbitraire.

Afin de rester à jour et bénéficier des dernières protections, les clients doivent appliquer deux correctifs : le correctif MDVA-43395 d’abord, puis le correctif MDVA-43443.

Adobe est conscient que la vulnérabilité CVE-2022-24086 a été exploitée dans la nature lors d’attaques très limitées ciblant des commerçants Adobe Commerce.

Versions concernées

Produit	Version	Plate-forme
Adobe Commerce	2.4.3-p1 et versions antérieures	Toutes
Adobe Commerce	2.3.7-p2 et versions antérieures	Toutes
Magento Open Source	2.4.3-p1 et versions antérieures	Toutes
Magento Open Source	2.3.7-p2 et versions antérieures	Toutes

Remarque : Adobe Commerce et les versions de Magento Open Source 2.3.0 à 2.3.3 ne sont pas affectés.

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit	Mise à jour	Plate-forme	Priorité	Instructions d’installation
Adobe Commerce 2.4.3 - 2.4.3-p1 Magento Open Source 2.4.3 - 2.4.3-p1	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip et MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip et MDVA-43443_EE_2.4.3-p1_v1.patch.zip	Toutes	1	Notes de mise à jour

Adobe Commerce 2.3.4-p2 - 2.4.2-p2 Magento Open Source 2.3.4-p2 - 2.4.2-p2	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip et MDVA-43443_EE_2.4.2-p2_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip et MDVA-43443_EE_2.4.2-p2_v1.patch.zip

Adobe Commerce 2.3.3-p1 - 2.3.4 Magento Open Source 2.3.3-p1 - 2.3.4	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip et MDVA-43443_EE_2.3.4_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip et MDVA-43443_EE_2.3.4_v1.patch.zip

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité	Impact de la vulnérabilité	Gravité	Authentification requise pour l’exploitation ?	L’exploit nécessite des droits d’administrateur ?	Score de base CVSS	Vecteur CVSS	ID de bogue Magento	Numéro(s) CVE
Validation d’entrée incorrecte (CWE-20)	Exécution de code arbitraire	Critique	Non	Non	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	PRODSECBUG-3118	CVE-2022-24086
Validation d’entrée incorrecte (CWE-20)	Exécution de code arbitraire	Critique	Non	Non	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	PRODSECBUG-3120	CVE-2022-24087

Catégorie de la vulnérabilité

Impact de la vulnérabilité

Gravité

Authentification requise pour l’exploitation ?

L’exploit nécessite des droits d’administrateur ?

Score de base CVSS

Vecteur CVSS

ID de bogue Magento

Numéro(s) CVE

Validation d’entrée incorrecte (CWE-20)

Exécution de code arbitraire

Critique

Non

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3118

CVE-2022-24086

Validation d’entrée incorrecte (CWE-20)

Exécution de code arbitraire

Critique

Non

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3120

CVE-2022-24087

Révisions

17 février 2022 :

- Versions affectées mises à jour pour CVE-2022-24086

- Modification des informations CVE et des remerciements pour CVE-2022-24087

14 février 2022 :

- En-têtes de colonne clarifiés dans le tableau Détails concernant la vulnérabilité

Remerciements

Adobe tient à remercier les chercheurs suivants pour avoir signalé ce problème et joint leurs efforts aux nôtres pour protéger nos clients :

Eboda et Blaklis (CVE-2022-24087)

Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?