Boletim de segurança da Adobe

Atualização de segurança disponível para o Adobe Commerce | APSB22-12

ID do boletim

Data de publicação

Última atualização

Prioridade

APSB22-12

13 de fevereiro de 2022
      

17 de fevereiro de 2022

1

Resumo

A Adobe lançou atualizações de segurança para o Adobe Commerce e o Magento Open Source. Essas atualizações resolvem uma vulnerabilidade classificada como crítica. A exploração bem-sucedida poderia levar a uma execução de código arbitrária. 

Para manter-se atualizado com as últimas proteções, os clientes devem aplicar duas correções: MDVA-43395 primeiro, e depois MDVA-43443 em cima dele. 

A Adobe está ciente de que o CVE-2022-24086 tem sido explorado na Web em ataques muito limitados contra os comerciantes da Adobe Commerce.     

Versões afetadas

Produto Versão Plataforma
 Adobe Commerce 2.4.3-p1 e versões anteriores  
Todos
2.3.7-p2 e versões anteriores   
Todos
Magento Open Source

2.4.3-p1 e versões anteriores       

Todos
2.3.7-p2 e versões anteriores Todos

Nota : As versões 2.3.0 a 2.3.3 do Adobe Commerce e Magento Open Source não são afetadas.

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.

Produto Versão atualizada Plataforma Classificação de prioridade Instruções de instalação

Adobe Commerce 2.4.3 - 2.4.3-p1


Magento Open Source 2.4.3 - 2.4.3-p1

Todos

Notas de versão

   

Adobe Commerce 2.3.4-p2 - 2.4.2-p2

 

Magento Open Source 2.3.4-p2 - 2.4.2-p2

   

Adobe Commerce 2.3.3-p1 - 2.3.4

 

Magento Open Source 2.3.3-p1 - 2.3.4

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Autenticação necessária para explorar? A exploração requer privilégios administrativos?
Pontuação base de CVSS
Vetor CVSS
ID de Bug do Magento Número(s) CVE

Validação de entrada inadequada (CWE-20

Execução de código arbitrário 

Crítico

Não

Não

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3118

CVE-2022-24086

 

Validação de entrada inadequada (CWE-20
Execução de código arbitrário 
Crítico
Não Não 9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3120
CVE-2022-24087

 

Revisões

17 de fevereiro de 2022:

      - Versões afetadas atualizadas para CVE-2022-24086

      - Detalhes e agradecimentos atualizados do CVE-2022-24087

14 de fevereiro de 2022: 

      - Cabeçalhos de coluna esclarecidos na tabela Detalhes de vulnerabilidade

Agradecimentos

A Adobe gostaria de agradecer aos seguintes pesquisadores por terem relatado esse problema e trabalhado com a Adobe para ajudar a proteger nossos clientes:

  • Eboda & Blaklis (CVE-2022-24087)

 


Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online