Adobe – sikkerhetsbulletin

Sikkerhetsoppdatering tilgjengelig for Adobe Commerce | APSB22-12

Bulletin-ID

Dato publisert

Sist oppdatert

Prioritet

APSB22-12

13. februar  2022
      

17. februar 2022

1

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Commerce og Magento Open Source. Disse oppdateringene løser et sikkerhetsproblem som er klassifisert som viktig. Utnyttelse av disse sårbarhetene kan føre til kjøring av vilkårlig kode. 

Kunder må installere to oppdateringer for å få tilgang til den nyeste beskyttelsen: MDVA-43395 først, og deretter MDVA-43443. 

Adobe er klar over at CVE-2022-24086 har blitt utnyttet fritt i svært begrensede angrep rettet mot Adobe Commerce-selgere.     

Berørte versjoner

Produkt Versjon Plattform
 Adobe Commerce versjon 2.4.3-p1 og tidligere  
Alle
versjon 2.3.7-p2 og tidligere  
Alle
Magento Open Source

versjon 2.4.3-p1 og tidligere       

Alle
versjon 2.3.7-p2 og tidligere Alle

Merk: Adobe Commerce og Magento Open Source versjon 2.3.0 til 2.3.3 påvirkes ikke.

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.

Produkt Oppdatert versjon Plattform Prioritet Klassifisering Installasjonsinstruksjoner

Adobe Commerce 2.4.3 til 2.4.3-p1


Magento Open Source 2.4.3 til 2.4.3-p1

Alle

Produktmerknader

   

Adobe Commerce 2.3.4-p2 til 2.4.2-p2

 

Magento Open Source 2.3.4-p2 til 2.4.2-p2

   

Adobe Commerce 2.3.3-p1 til 2.3.4

 

Magento Open Source 2.3.3-p1 til 2.3.4

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad Er godkjenning nødvendig for å bruke produktet? Krever bruk administratorrettigheter?
CVSS-grunnscore
CVSS-vektor
Magento Bug ID CVE-nummer

Feil inndatavalidering (CWE-20

Kjøring av vilkårlig kode 

Kritisk

No

No

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3118

CVE-2022-24086

 

Feil inndatavalidering (CWE-20
Kjøring av vilkårlig kode 
Kritisk
No No 9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3120
CVE-2022-24087

 

Revisjoner

17. februar 2022:

      – Vi har oppdatert berørte versjoner for CVE-2022-24086

      – Vi har oppdatert CVE-detaljer og anerkjennelser for CVE-2022-24087

14. februar 2022: 

      – Vi har klarifisert kolonneoverskrifter i tabellen over sårbarhetsdetaljer

Anerkjennelser

Adobe takker følgende forskere  for at de har rapportert disse problemene, og for at de samarbeider med Adobe så vi kan beskytte kundene våre bedre:

  • Eboda og Blaklis (CVE-2022-24087)

 


For mer informasjon kan du besøke https://helpx.adobe.com/no/security.html eller sende e-post til PSIRT@adobe.com.

 Adobe

Få hjelp raskere og enklere

Ny bruker?