Adobe-säkerhetsbulletin

Säkerhetsuppdatering tillgänglig för Adobe Commerce | APSB22-12

Bulletin-ID

Publiceringsdatum

Senast uppdaterad

Prioritet

APSB22-12

13 februari  2022
      

17 februari 2022

1

Sammanfattning

Adobe har släppt uppdateringar för Adobe Commerce och Magento Open Source. Uppdateringarna åtgärdar en sårbarhet som har klassats som kritisk. Ett framgångsrikt utnyttjande kan leda till exekvering av godtycklig kod. 

För att vara uppdaterad med det senaste skyddet måste kunden installera två felkorrigeringsfiler: Först MDVA-43395 och sedan MDVA-43443. 

Adobe är medvetet om att CVE-2022-24086 har utnyttjats i mycket begränsade angrepp mot Adobe Commerce-handlare.     

Berörda versioner

Produkt Version Plattform
 Adobe Commerce 2.4.3-p1 och tidigare versioner  
Alla
2.3.7-p2 och tidigare versioner  
Alla
Magento Open Source

2.4.3-p1 och tidigare versioner       

Alla
2.3.7-p2 och tidigare versioner Alla

Obs! Adobe Commerce och Magento Open Source, versionerna 2.3.0 till 2.3.3 påverkas inte.

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.

Produkt Uppdaterad version Plattform Prioritetsklassificering Installationsanvisningar

Adobe Commerce 2.4.3–2.4.3-p1


Magento Open Source 2.4.3–2.4.3-p1

Alla

Versionsinformation

   

Adobe Commerce 2.3.4-p2–2.4.2-p2

 

Magento Open Source 2.3.4-p2–2.4.2-p2

   

Adobe Commerce 2.3.3-p1–2.3.4

 

Magento Open Source 2.3.3-p1–2.3.4

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet Krävs Authentication för utnyttjande? Kräver utnyttjande administratörsrättigheter?
CVSS-baspoäng
CVSS-vektor
Magento fel-ID CVE-nummer

Felaktig validering av indata (CWE-20

Exekvering av godtycklig kod 

Allvarlig

Nej

Nej

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3118

CVE-2022-24086

 

Felaktig validering av indata (CWE-20
Exekvering av godtycklig kod 
Kritisk
Nej Nej 9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3120
CVE-2022-24087

 

Revisioner

17 februari 2022:

      – Uppdaterade berörda versioner för CVE-2022-24086

      – Uppdaterad CVE-information och bekräftelser för CVE-2022-24087

14 februari 2022: 

      – Förtydligade kolumnrubriker i tabellen Sårbarhetsinformation

Tack

Adobe tackar följande forskare för att de har rapporterat problemet och för att de samarbetar med Adobe för att hjälpa till att skydda våra kunder:

  • Eboda & Blaklis (CVE-2022-24087)

 


Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.

 Adobe

Få hjälp snabbare och enklare

Ny användare?