ID buletin
Actualizare de securitate disponibilă pentru Adobe Commerce | APSB22-12
|
Data publicării |
Ultima actualizare |
Prioritatea |
---|---|---|---|
APSB22-12 |
13 februarie 2022 |
17 februarie 2022 |
1 |
Sumar
Adobe a lansat actualizări de securitate pentru Adobe Commerce și Magento Open Source. Aceste actualizări remediază o vulnerabilitate evaluată ca importantă. Exploatarea reușită ar putea conduce la executarea de cod arbitrar.
Pentru a fi la curent cu cele mai recente măsuri de protecție, clienții trebuie să aplice două corecții: mai întâi corecția MDVA-43395 și apoi MDVA-43443 pe lângă aceasta.
Compania Adobe este conștientă de faptul că CVE-2022-24086 a fost exploatat în natură în atacuri foarte limitate care au vizat comercianții Adobe Commerce.
Versiunile afectate
Produs | Versiunea | Platformă |
---|---|---|
Adobe Commerce | 2.4.3-p1 și versiunile anterioare |
Toate |
2.3.7-p2 și versiunile anterioare |
Toate |
|
Magento Open Source |
2.4.3-p1 și versiunile anterioare |
Toate |
2.3.7-p2 și versiunile anterioare | Toate |
Notă: Versiunile Adobe Commerce și Magento Open Source 2.3.0 până la 2.3.3 nu sunt afectate.
Soluție
Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune.
Produs | Versiune actualizată | Platformă | Evaluare a priorității | Instrucţiuni de instalare |
---|---|---|---|---|
Adobe Commerce 2.4.3 - 2.4.3-p1
|
Toate |
1 |
||
Adobe Commerce 2.3.4-p2 - 2.4.2-p2
Magento Open Source 2.3.4-p2 - 2.4.2-p2 |
||||
Adobe Commerce 2.3.3-p1 - 2.3.4
Magento Open Source 2.3.3-p1 - 2.3.4 |
Detalii privind vulnerabilitatea
Categoria de vulnerabilitate | Impactul vulnerabilității | Severitate | Este necesară autentificarea pentru exploatare? | Exploatarea necesită privilegii de administrator? |
Scor de bază CVSS |
Vector CVSS |
Magento Bug ID | Numărul (numerele) CVE |
---|---|---|---|---|---|---|---|---|
Validare neadecvată a intrării (CWE-20) |
Executare de cod arbitrară |
Critică |
Nu |
Nu |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3118 |
CVE-2022-24086
|
Validare neadecvată a intrării (CWE-20) |
Executare de cod arbitrară |
Critică |
Nu | Nu | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3120 |
CVE-2022-24087 |
Revizii
17 februarie 2022:
- Versiuni afectate actualizate pentru CVE-2022-24086
- Detalii CVE și mențiuni actualizate pentru CVE-2022-24087
14 februarie 2022:
- Au fost clarificate anteturile coloanelor din tabelul Detalii vulnerabilitate
Mențiuni
Adobe dorește să le mulțumească următorilor cercetători pentru raportarea acestei probleme și pentru colaborarea cu Adobe în scopul protejării clienților noștri:
- Eboda & Blaklis (CVE-2022-24087)
Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com.