Bulletin-id
Beveiligingsupdate beschikbaar voor Adobe Commerce | APSB22-12
|
Publicatiedatum |
Recentste update |
Prioriteit |
---|---|---|---|
APSB22-12 |
13 februari 2022 |
17 februari 2022 |
1 |
Samenvatting
Adobe heeft beveiligingsupdates uitgebracht voor Adobe Commerce en Magento Open Source. Deze updates verhelpen een kritieke kwetsbaarheid. Succesvolle exploitatie kan tot uitvoering van willekeurige code leiden.
Om up-to-date te blijven met de nieuwste beveiligingen, moeten klanten twee patches toepassen: eerst de MDVA-43395-patch en daarbovenop de MDVA-43443-patch.
Adobe is ervan op de hoogte dat CVE-2022-24086 door onbevoegden wordt geëxploiteerd in uiterst zeldzame aanvallen tegen Adobe Commerce-handelaren.
Van toepassing op de volgende versies
Product | Versie | Platform |
---|---|---|
Adobe Commerce | 2.4.3-p1 en eerdere versies |
Alles |
2.3.7-p2 en eerdere versies |
Alles |
|
Magento Open Source |
2.4.3-p1 en eerdere versies |
Alles |
2.3.7-p2 en eerdere versies | Alles |
Opmerking: Adobe Commerce en Magento Open Source versies 2.3.0 tot 2.3.3 zijn niet beïnvloed.
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.
Product | Bijgewerkte versie | Platform | Prioriteitsbeoordeling | Installatie-instructies |
---|---|---|---|---|
Adobe Commerce 2.4.3 - 2.4.3-p1
|
Alles |
1 |
||
Adobe Commerce 2.3.4-p2 - 2.4.2-p2
Magento Open Source 2.3.4-p2 - 2.4.2-p2 |
||||
Adobe Commerce 2.3.3-p1 - 2.3.4
Magento Open Source 2.3.3-p1 - 2.3.4 |
Details van kwetsbaarheid
Categorie van kwetsbaarheid | Impact van kwetsbaarheid | Ernst | Authentication vereist voor uitbuiting? | Beheerdersbevoegdheden nodig voor uitbuiting? |
CVSS-basisscore |
CVSS-vector |
Magento Bug ID | CVE-nummer(s) |
---|---|---|---|---|---|---|---|---|
Onjuiste invoervalidatie (CWE-20) |
Uitvoering van willekeurige code |
Kritiek |
Nee |
Nee |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3118 |
CVE-2022-24086
|
Onjuiste invoervalidatie (CWE-20) |
Uitvoering van willekeurige code |
Kritiek |
Nee | Nee | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3120 |
CVE-2022-24087 |
Revisies
17 februari 2022:
- Getroffen versies bijgewerkt voor CVE-2022-24086
- CVE-details en dankbetuigingen voor CVE-2022-24087 bijgewerkt
14 februari 2022:
- Kolomtitels in de tabel Details van de kwetsbaarheid verduidelijkt
Dankbetuigingen
Adobe bedankt de volgende onderzoekers voor het melden van dit probleem en voor de samenwerking met Adobe om onze klanten te helpen beschermen:
- Eboda & Blaklis (CVE-2022-24087)
Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.