Biuletyn dotyczący zabezpieczeń firmy Adobe

Szukaj

Ostatnia aktualizacja 25 lut 2022

Dostępna aktualizacja zabezpieczeń programu Adobe Commerce|APSB22-12

ID biuletynu	Data publikacji	Ostatnio zaktualizowano	Priorytet
APSB22-12	13 lutego 2022 r.	17 lutego 2022 r.	1

Podsumowanie

Firma Adobe wydała aktualizacje zabezpieczeń programów Adobe Commerce i Magento Open Source. Te aktualizacje usuwają lukę w zabezpieczeniach, która została oceniona jako krytyczna. Luki te mogą umożliwić wykonanie dowolnego kodu.

Aby zapewnić sobie najnowsze zabezpieczenia, klienci muszą zastosować dwie poprawki: najpierw łatkę MDVA-43395, a następnie MDVA-43443.

Firma Adobe wie, że lukę CVE-2022-24086 wykorzystano w bardzo ograniczonym stopniu, aby atakować przedsiębiorców korzystających z usługi Adobe Commerce.

Zagrożone wersje

Produkt	Wersja	Platforma
Adobe Commerce	2.4.3-p1 i starsze wersje	Wszystkie
Adobe Commerce	2.3.7-p2 i starsze wersje	Wszystkie
Magento Open Source	2.4.3-p1 i starsze wersje	Wszystkie
Magento Open Source	2.3.7-p2 i starsze wersje	Wszystkie

Uwaga: problem nie dotyczy Adobe Commerce i Magento Open Source w wersji od 2.3.0 do 2.3.3.

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji.

Produkt	Zaktualizowana wersja	Platforma	Ocena priorytetu	Instrukcje instalacji
Adobe Commerce 2.4.3 - 2.4.3-p1 Magento Open Source 2.4.3 - 2.4.3-p1	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip i MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip i MDVA-43443_EE_2.4.3-p1_v1.patch.zip	Wszystkie	1	Uwagi na temat wersji

Adobe Commerce 2.3.4-p2 - 2.4.2-p2 Magento Open Source 2.3.4-p2 - 2.4.2-p2	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip i MDVA-43443_EE_2.4.2-p2_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip i MDVA-43443_EE_2.4.2-p2_v1.patch.zip

Adobe Commerce 2.3.3-p1 - 2.3.4 Magento Open Source 2.3.3-p1 - 2.3.4	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip i MDVA-43443_EE_2.3.4_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip i MDVA-43443_EE_2.3.4_v1.patch.zip

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach	Wpływ luki w zabezpieczeniach	Ostrość	Uwierzytelnienie wymagane do wykorzystania?	Wykorzystanie wymaga uprawnień administratora?	Podstawowy wynik CVSS	Wektor CVSS	ID błędu Magento	Numer(y) CVE
Nieprawidłowa walidacja danych wejściowych (CWE-20)	Wykonanie dowolnego kodu	Krytyczna	Nie	Nie	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	PRODSECBUG-3118	CVE-2022-24086
Nieprawidłowa walidacja danych wejściowych (CWE-20)	Wykonanie dowolnego kodu	Krytyczna	Nie	Nie	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	PRODSECBUG-3120	CVE-2022-24087

Kategoria luki w zabezpieczeniach

Wpływ luki w zabezpieczeniach

Ostrość

Uwierzytelnienie wymagane do wykorzystania?

Wykorzystanie wymaga uprawnień administratora?

Podstawowy wynik CVSS

Wektor CVSS

ID błędu Magento

Numer(y) CVE

Nieprawidłowa walidacja danych wejściowych (CWE-20)

Wykonanie dowolnego kodu

Krytyczna

Nie

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3118

CVE-2022-24086

Nieprawidłowa walidacja danych wejściowych (CWE-20)

Wykonanie dowolnego kodu

Krytyczna

Nie

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3120

CVE-2022-24087

Wersje

17 lutego 2022 r.:

- Zaktualizowano wersje, w których występuje problem CVE-2022-24086

- Zaktualizowano szczegóły CVE i podziękowania dla CVE-2022-24087

14 lutego 2022 r.:

- Objaśniono nagłówki kolumn w tabeli Informacje o luce w zabezpieczeniach

Podziękowania

Firma Adobe składa podziękowania następującym badaczom za zgłoszenie tej luki w zabezpieczeniach i współpracę z firmą Adobe w celu ochrony naszych klientów:

Eboda & Blaklis (CVE-2022-24087)

Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?