Бюллетень безопасности Adobe

Поиск

Последнее обновление 25 февр. 2022 г.

Обновление безопасности для Adobe Commerce | АПСБ22-12

Идентификатор бюллетеня	Дата публикации	Последнее обновление	Приоритет
APSB22-12	13 февраля 2022 г.	17 февраля 2022 г.	1

Сводка

Компания Adobe выпустила обновления системы безопасности для Adobe Commerce и Magento Open Source. Эти обновления позволяют устранить уязвимости, классифицируемые как критические. При успешном использовании эти уязвимости могли привести к выполнению произвольного кода.

Чтобы оставаться в курсе последних мер защиты, клиенты должны последовательно применить два исправления: сначала исправление MDVA-43395, а затем MDVA-43443.

Adobe известно, что уязвимость CVE-2022-24086 активно использовалась в очень ограниченных атаках, нацеленных на продавцов Adobe Commerce.

Затронутые версии

Продукт	Версия	Платформа
Adobe Commerce	2.4.3-p1 и более ранние версии	Все
Adobe Commerce	2.3.7-p2 и более ранние версии	Все
Magento Open Source	2.4.3-p1 и более ранние версии	Все
Magento Open Source	2.3.7-p2 и более ранние версии	Все

Примечание: версии Adobe Commerce и Magento Open Source 2.3.0 - 2.3.3 не затронуты.

Решение

Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.

Продукт	Обновленная версия	Платформа	Рейтинг приоритета	Инструкции по установке
Adobe Commerce 2.4.3 - 2.4.3-p1 Magento Open Source 2.4.3 - 2.4.3-p1	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip и MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip и MDVA-43443_EE_2.4.3-p1_v1.patch.zip	Все	1	Сведения о выпуске

Adobe Commerce 2.3.4-p2 - 2.4.2-p2 Magento Open Source 2.3.4-p2 - 2.4.2-p2	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip и MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip и MDVA-43443_EE_2.4.2-p2_v1.patch.zip

Adobe Commerce 2.3.3-p1 - 2.3.4 Magento Open Source 2.3.3-p1 - 2.3.4	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip и MDVA-43443_EE_2.3.4_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip и MDVA-43443_EE_2.3.4_v1.patch.zip

Сведения об уязвимости

Категория уязвимости	Влияние уязвимости	Серьезность	Требуется ли аутентификация для использования?	Для использования нужны права администратора?	Базовая оценка CVSS	Вектор CVSS	Magento Bug ID	Номера CVE
Неправильная проверка ввода (CWE-20)	Выполнение произвольного кода	Критическая	Нет	Нет	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	PRODSECBUG-3118	CVE-2022-24086
Неправильная проверка ввода (CWE-20)	Выполнение произвольного кода	Критическая	Нет	Нет	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	PRODSECBUG-3120	CVE-2022-24087

Категория уязвимости

Влияние уязвимости

Серьезность

Требуется ли аутентификация для использования?

Для использования нужны права администратора?

Базовая оценка CVSS

Вектор CVSS

Magento Bug ID

Номера CVE

Неправильная проверка ввода (CWE-20)

Выполнение произвольного кода

Критическая

Нет

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3118

CVE-2022-24086

Неправильная проверка ввода (CWE-20)

Выполнение произвольного кода

Критическая

Нет

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3120

CVE-2022-24087

Редакции

17 февраля 2022 г.:

- Обновлены затронутые версии для CVE-2022-24086

- Обновлены сведения о CVE и подтверждения для CVE-2022-24087

14 февраля 2022 г.:

- Уточнены заголовки столбцов в таблице сведений об уязвимостях

Благодарности

Компания Adobe выражает благодарность следующим исследователям за сообщение об этой проблеме и за помощь Adobe в защите наших клиентов:

Eboda & Blaklis (CVE-2022-24087)

Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com.

Adobe

Получайте помощь быстрее и проще

Новый пользователь?