Beveiligingsadvies van Adobe

Beveiligingsupdate beschikbaar voor Adobe Commerce | APSB22-12

Bulletin-id

Publicatiedatum

Recentste update

Prioriteit

APSB22-12

13 februari 2022
      

17 februari 2022

1

Samenvatting

Adobe heeft beveiligingsupdates uitgebracht voor Adobe Commerce en Magento Open Source. Deze updates verhelpen een  kritieke kwetsbaarheid. Succesvolle exploitatie kan tot uitvoering van willekeurige code leiden. 

Om up-to-date te blijven met de nieuwste beveiligingen, moeten klanten twee patches toepassen: eerst de MDVA-43395-patch en daarbovenop de MDVA-43443-patch. 

Adobe is ervan op de hoogte dat CVE-2022-24086 door onbevoegden wordt geëxploiteerd in uiterst zeldzame aanvallen tegen Adobe Commerce-handelaren.     

Van toepassing op de volgende versies

Product Versie Platform
 Adobe Commerce 2.4.3-p1 en eerdere versies  
Alles
2.3.7-p2 en eerdere versies  
Alles
Magento Open Source

2.4.3-p1 en eerdere versies       

Alles
2.3.7-p2 en eerdere versies Alles

Opmerking: Adobe Commerce en Magento Open Source versies 2.3.0 tot 2.3.3 zijn niet beïnvloed.

Oplossing

Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.

Product Bijgewerkte versie Platform Prioriteitsbeoordeling Installatie-instructies

Adobe Commerce 2.4.3 - 2.4.3-p1


Magento Open Source 2.4.3 - 2.4.3-p1

Alles

Release-opmerkingen

   

Adobe Commerce 2.3.4-p2 - 2.4.2-p2

 

Magento Open Source 2.3.4-p2 - 2.4.2-p2

   

Adobe Commerce 2.3.3-p1 - 2.3.4

 

Magento Open Source 2.3.3-p1 - 2.3.4

Details van kwetsbaarheid

Categorie van kwetsbaarheid Impact van kwetsbaarheid Ernst Authentication vereist voor uitbuiting? Beheerdersbevoegdheden nodig voor uitbuiting?
CVSS-basisscore
CVSS-vector
Magento Bug ID CVE-nummer(s)

Onjuiste invoervalidatie (CWE-20

Uitvoering van willekeurige code 

Kritiek

Nee

Nee

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3118

CVE-2022-24086

 

Onjuiste invoervalidatie (CWE-20
Uitvoering van willekeurige code 
Kritiek
Nee Nee 9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3120
CVE-2022-24087

 

Revisies

17 februari 2022:

      - Getroffen versies bijgewerkt voor CVE-2022-24086

      - CVE-details en dankbetuigingen voor CVE-2022-24087 bijgewerkt

14 februari 2022: 

      - Kolomtitels in de tabel Details van de kwetsbaarheid verduidelijkt

Dankbetuigingen

Adobe bedankt de volgende onderzoekers voor het melden van dit probleem en voor de samenwerking met Adobe om onze klanten te helpen beschermen:

  • Eboda & Blaklis (CVE-2022-24087)

 


Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?