Bulletin de sécurité Adobe

Mise à jour de sécurité disponible pour Adobe Commerce | APSB22-12

Référence du bulletin

Date de publication

Dernière mise à jour

Priorité

APSB22-12

13 février 2022
      

17 février 2022

1

Récapitulatif

Adobe a publié des mises à jour de sécurité pour Adobe Commerce et Magento Open Source. Ces mises à jour résolvent une vulnérabilité jugée importante. L’exploitation réussie de cette vulnérabilité peut entraîner l’exécution de code arbitraire. 

Afin de rester à jour et bénéficier des dernières protections, les clients doivent appliquer deux correctifs : le correctif MDVA-43395 d’abord, puis le correctif MDVA-43443. 

Adobe est conscient que la vulnérabilité CVE-2022-24086 a été exploitée dans la nature lors d’attaques très limitées ciblant des commerçants Adobe Commerce.     

Versions concernées

Produit Version  Plate-forme
 Adobe Commerce 2.4.3-p1 et versions antérieures  
Toutes
2.3.7-p2 et versions antérieures  
Toutes
Magento Open Source

2.4.3-p1 et versions antérieures       

Toutes
2.3.7-p2 et versions antérieures Toutes

Remarque : Adobe Commerce et les versions de Magento Open Source 2.3.0 à 2.3.3 ne sont pas affectés.

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit Mise à jour Plate-forme Priorité Instructions d’installation

Adobe Commerce 2.4.3 - 2.4.3-p1


Magento Open Source 2.4.3 - 2.4.3-p1

Toutes

Notes de mise à jour

   

Adobe Commerce 2.3.4-p2 - 2.4.2-p2

 

Magento Open Source 2.3.4-p2 - 2.4.2-p2

   

Adobe Commerce 2.3.3-p1 - 2.3.4

 

Magento Open Source 2.3.3-p1 - 2.3.4

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Authentification requise pour l’exploitation ? L’exploit nécessite des droits d’administrateur ?
Score de base CVSS
Vecteur CVSS
ID de bogue Magento Numéro(s) CVE

Validation d’entrée incorrecte (CWE-20

Exécution de code arbitraire 

Critique

Non

Non

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3118

CVE-2022-24086

 

Validation d’entrée incorrecte (CWE-20
Exécution de code arbitraire 
Critique
Non Non 9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3120
CVE-2022-24087

 

Révisions

17 février 2022 :

      - Versions affectées mises à jour pour CVE-2022-24086

      - Modification des informations CVE et des remerciements pour CVE-2022-24087

14 février 2022 : 

      - En-têtes de colonne clarifiés dans le tableau Détails concernant la vulnérabilité

Remerciements

Adobe tient à remercier les chercheurs suivants pour avoir signalé ce problème et joint leurs efforts aux nôtres pour protéger nos clients :

  • Eboda et Blaklis (CVE-2022-24087)

 


Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?

Adobe MAX 2024

Adobe MAX
La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne

Adobe MAX

La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne

Adobe MAX 2024

Adobe MAX
La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne

Adobe MAX

La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne