Adobe – sikkerhetsbulletin

Sikkerhetsoppdatering tilgjengelig for Adobe Commerce | APSB22-12

Bulletin-ID	Dato publisert	Sist oppdatert	Prioritet
APSB22-12	13. februar  2022	17. februar 2022	1

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Commerce og Magento Open Source. Disse oppdateringene løser et sikkerhetsproblem som er klassifisert som viktig. Utnyttelse av disse sårbarhetene kan føre til kjøring av vilkårlig kode.

Kunder må installere to oppdateringer for å få tilgang til den nyeste beskyttelsen: MDVA-43395 først, og deretter MDVA-43443.

Adobe er klar over at CVE-2022-24086 har blitt utnyttet fritt i svært begrensede angrep rettet mot Adobe Commerce-selgere.

Berørte versjoner

Produkt	Versjon	Plattform
Adobe Commerce	versjon 2.4.3-p1 og tidligere	Alle
Adobe Commerce	versjon 2.3.7-p2 og tidligere	Alle
Magento Open Source	versjon 2.4.3-p1 og tidligere	Alle
Magento Open Source	versjon 2.3.7-p2 og tidligere	Alle

Merk: Adobe Commerce og Magento Open Source versjon 2.3.0 til 2.3.3 påvirkes ikke.

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.

Produkt	Oppdatert versjon	Plattform	Prioritet Klassifisering	Installasjonsinstruksjoner
Adobe Commerce 2.4.3 til 2.4.3-p1 Magento Open Source 2.4.3 til 2.4.3-p1	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip og MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip og MDVA-43443_EE_2.4.3-p1_v1.patch.zip	Alle	1	Produktmerknader

Adobe Commerce 2.3.4-p2 til 2.4.2-p2 Magento Open Source 2.3.4-p2 til 2.4.2-p2	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip og MDVA-43443_EE_2.4.2-p2_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip og MDVA-43443_EE_2.4.2-p2_v1.patch.zip

Adobe Commerce 2.3.3-p1 til 2.3.4 Magento Open Source 2.3.3-p1 til 2.3.4	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip og MDVA-43443_EE_2.3.4_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip og MDVA-43443_EE_2.3.4_v1.patch.zip

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori	Sikkerhetsprobleminnvirkning	Alvorlighetsgrad	Er godkjenning nødvendig for å bruke produktet?	Krever bruk administratorrettigheter?	CVSS-grunnscore	CVSS-vektor	Magento Bug ID	CVE-nummer
Feil inndatavalidering (CWE-20)	Kjøring av vilkårlig kode	Kritisk	No	No	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	PRODSECBUG-3118	CVE-2022-24086
Feil inndatavalidering (CWE-20)	Kjøring av vilkårlig kode	Kritisk	No	No	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	PRODSECBUG-3120	CVE-2022-24087

Sikkerhetsproblemkategori

Sikkerhetsprobleminnvirkning

Alvorlighetsgrad

Er godkjenning nødvendig for å bruke produktet?

Krever bruk administratorrettigheter?

CVSS-grunnscore

CVSS-vektor

Magento Bug ID

CVE-nummer

Feil inndatavalidering (CWE-20)

Kjøring av vilkårlig kode

Kritisk

No

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3118

CVE-2022-24086

Feil inndatavalidering (CWE-20)

Kjøring av vilkårlig kode

Kritisk

No

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3120

CVE-2022-24087

Revisjoner

17. februar 2022:

– Vi har oppdatert berørte versjoner for CVE-2022-24086

– Vi har oppdatert CVE-detaljer og anerkjennelser for CVE-2022-24087

14. februar 2022:

– Vi har klarifisert kolonneoverskrifter i tabellen over sårbarhetsdetaljer

Anerkjennelser

Adobe takker følgende forskere  for at de har rapportert disse problemene, og for at de samarbeider med Adobe så vi kan beskytte kundene våre bedre:

Eboda og Blaklis (CVE-2022-24087)

For mer informasjon kan du besøke https://helpx.adobe.com/no/security.html eller sende e-post til PSIRT@adobe.com.

Adobe – sikkerhetsbulletin

Sammendrag

Berørte versjoner

Løsning

Informasjon om sikkerhetsproblemet

Revisjoner

Anerkjennelser

Få hjelp raskere og enklere

Del denne siden

Spør fellesskapet

Kontakt oss