Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępna aktualizacja zabezpieczeń programu Adobe Commerce|APSB22-12

ID biuletynu

Data publikacji

Ostatnio zaktualizowano

Priorytet

APSB22-12

13 lutego 2022 r.
      

17 lutego 2022 r.

1

Podsumowanie

Firma Adobe wydała aktualizacje zabezpieczeń programów Adobe Commerce i Magento Open Source. Te aktualizacje usuwają lukę w zabezpieczeniach, która została oceniona jako krytyczna. Luki te mogą umożliwić wykonanie dowolnego kodu. 

Aby zapewnić sobie najnowsze zabezpieczenia, klienci muszą zastosować dwie poprawki: najpierw łatkę MDVA-43395, a następnie MDVA-43443.

Firma Adobe wie, że lukę CVE-2022-24086 wykorzystano w bardzo ograniczonym stopniu, aby atakować przedsiębiorców korzystających z usługi Adobe Commerce.

Zagrożone wersje

Produkt Wersja Platforma
 Adobe Commerce 2.4.3-p1 i starsze wersje  
Wszystkie
2.3.7-p2 i starsze wersje  
Wszystkie
Magento Open Source

2.4.3-p1 i starsze wersje       

Wszystkie
2.3.7-p2 i starsze wersje Wszystkie

Uwaga: problem nie dotyczy Adobe Commerce i Magento Open Source w wersji od 2.3.0 do 2.3.3.

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji.

Produkt Zaktualizowana wersja Platforma Ocena priorytetu Instrukcje instalacji

Adobe Commerce 2.4.3 - 2.4.3-p1


Magento Open Source 2.4.3 - 2.4.3-p1

Wszystkie

Uwagi na temat wersji

   

Adobe Commerce 2.3.4-p2 - 2.4.2-p2

 

Magento Open Source 2.3.4-p2 - 2.4.2-p2

   

Adobe Commerce 2.3.3-p1 - 2.3.4

 

Magento Open Source 2.3.3-p1 - 2.3.4

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Ostrość Uwierzytelnienie wymagane do wykorzystania? Wykorzystanie wymaga uprawnień administratora?
Podstawowy wynik CVSS
Wektor CVSS
ID błędu Magento Numer(y) CVE

Nieprawidłowa walidacja danych wejściowych (CWE-20

Wykonanie dowolnego kodu 

Krytyczna

Nie

Nie

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3118

CVE-2022-24086

 

Nieprawidłowa walidacja danych wejściowych (CWE-20
Wykonanie dowolnego kodu 
Krytyczna
Nie Nie 9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3120
CVE-2022-24087

 

Wersje

17 lutego 2022 r.:

      - Zaktualizowano wersje, w których występuje problem CVE-2022-24086

      - Zaktualizowano szczegóły CVE i podziękowania dla CVE-2022-24087

14 lutego 2022 r.: 

      - Objaśniono nagłówki kolumn w tabeli Informacje o luce w zabezpieczeniach

Podziękowania

Firma Adobe składa podziękowania następującym badaczom za zgłoszenie tej luki w zabezpieczeniach i współpracę z firmą Adobe w celu ochrony naszych klientów:

  • Eboda & Blaklis (CVE-2022-24087)

 


Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.

Adobe

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online