Boletín de seguridad de Adobe

Actualización de seguridad disponible para Adobe Commerce | APSB22-12

ID del boletín

Fecha de publicación

Última actualización

Prioridad

APSB22-12

13 de febrero de 2022
      

17 de febrero de 2022

1

Resumen

Adobe ha publicado actualizaciones de seguridad para Adobe Commerce y Magento Open Source. Estas actualizaciones solucionan una vulnerabilidad clasificada como crítica. Esta vulnerabilidad podría dar lugar a la ejecución de código arbitrario. 

Para estar al día respecto a las últimas protecciones, los clientes deben aplicar dos parches: primero MDVA-43395 y después MDVA-43443. 

Adobe es consciente de que CVE-2022-24086 se ha explotado en ataques muy limitados dirigidos a comerciantes de Adobe Commerce.     

Versiones afectadas

Producto Versión Plataforma
 Adobe Commerce 2.4.3-p1 y versiones anteriores  
Todas
2.3.7-p2 y versiones anteriores  
Todas
Magento Open Source

2.4.3-p1 y versiones anteriores       

Todas
2.3.7-p2 y versiones anteriores Todas

Nota: Las versiones de Adobe Commerce y Magento Open Source de 2.3.0 a 2.3.3 no están afectadas.

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.

Producto Versión actualizada Plataforma Nivel de prioridad Instrucciones de instalación

Adobe Commerce 2.4.3 - 2.4.3-p1


Magento Open Source 2.4.3 - 2.4.3-p1

Todas

Notas de la versión

   

Adobe Commerce 2.3.4-p2 - 2.4.2-p2

 

Magento Open Source 2.3.4-p2 - 2.4.2-p2

   

Adobe Commerce 2.3.3-p1 - 2.3.4

 

Magento Open Source 2.3.3-p1 - 2.3.4

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad ¿Se requiere autenticación para la explotación? ¿La explotación requiere privilegios de administrador?
Puntuación base CVSS
Vector CVSS
ID del error de Magento Número(s) CVE

Validación incorrecta de la entrada (CWE-20

Ejecución de código arbitraria 

Crítica

No

No

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3118

CVE-2022-24086

 

Validación incorrecta de la entrada (CWE-20
Ejecución de código arbitraria 
Crítico
No No 9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3120
CVE-2022-24087

 

Revisiones

17 de febrero de 2022:

      - Actualización de las versiones afectadas de CVE-2022-24086

      - Actualización de detalles y agradecimientos de CVE de CVE-2022-24087

14 de febrero de 2022: 

      - Aclaración de encabezados de columnas en la tabla de detalles de la vulnerabilidad

Reconocimientos

Adobe desea dar las gracias a los siguientes investigadores por informar sobre este problema y por colaborar con Adobe para ayudarnos a proteger a nuestros clientes:

  • Eboda & Blaklis (CVE-2022-24087)

 


Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?