Bulletin-ID
Säkerhetsuppdatering tillgänglig för Adobe Commerce | APSB22-12
|
Publiceringsdatum |
Senast uppdaterad |
Prioritet |
---|---|---|---|
APSB22-12 |
13 februari 2022 |
17 februari 2022 |
1 |
Sammanfattning
Adobe har släppt uppdateringar för Adobe Commerce och Magento Open Source. Uppdateringarna åtgärdar en sårbarhet som har klassats som kritisk. Ett framgångsrikt utnyttjande kan leda till exekvering av godtycklig kod.
För att vara uppdaterad med det senaste skyddet måste kunden installera två felkorrigeringsfiler: Först MDVA-43395 och sedan MDVA-43443.
Adobe är medvetet om att CVE-2022-24086 har utnyttjats i mycket begränsade angrepp mot Adobe Commerce-handlare.
Berörda versioner
Produkt | Version | Plattform |
---|---|---|
Adobe Commerce | 2.4.3-p1 och tidigare versioner |
Alla |
2.3.7-p2 och tidigare versioner |
Alla |
|
Magento Open Source |
2.4.3-p1 och tidigare versioner |
Alla |
2.3.7-p2 och tidigare versioner | Alla |
Obs! Adobe Commerce och Magento Open Source, versionerna 2.3.0 till 2.3.3 påverkas inte.
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
Produkt | Uppdaterad version | Plattform | Prioritetsklassificering | Installationsanvisningar |
---|---|---|---|---|
Adobe Commerce 2.4.3–2.4.3-p1
|
Alla |
1 |
||
Adobe Commerce 2.3.4-p2–2.4.2-p2
Magento Open Source 2.3.4-p2–2.4.2-p2 |
||||
Adobe Commerce 2.3.3-p1–2.3.4
Magento Open Source 2.3.3-p1–2.3.4 |
Sårbarhetsinformation
Sårbarhetskategori | Sårbarhetens inverkan | Allvarlighet | Krävs Authentication för utnyttjande? | Kräver utnyttjande administratörsrättigheter? |
CVSS-baspoäng |
CVSS-vektor |
Magento fel-ID | CVE-nummer |
---|---|---|---|---|---|---|---|---|
Felaktig validering av indata (CWE-20) |
Exekvering av godtycklig kod |
Allvarlig |
Nej |
Nej |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3118 |
CVE-2022-24086
|
Felaktig validering av indata (CWE-20) |
Exekvering av godtycklig kod |
Kritisk |
Nej | Nej | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3120 |
CVE-2022-24087 |
Revisioner
17 februari 2022:
– Uppdaterade berörda versioner för CVE-2022-24086
– Uppdaterad CVE-information och bekräftelser för CVE-2022-24087
14 februari 2022:
– Förtydligade kolumnrubriker i tabellen Sårbarhetsinformation
Tack
Adobe tackar följande forskare för att de har rapporterat problemet och för att de samarbetar med Adobe för att hjälpa till att skydda våra kunder:
- Eboda & Blaklis (CVE-2022-24087)
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.