Идентификатор бюллетеня
Последнее обновление
25 февр. 2022 г.
Обновление безопасности для Adobe Commerce | АПСБ22-12
|
|
Дата публикации |
Последнее обновление |
Приоритет |
|---|---|---|---|
|
APSB22-12 |
13 февраля 2022 г. |
17 февраля 2022 г. |
1 |
Сводка
Компания Adobe выпустила обновления системы безопасности для Adobe Commerce и Magento Open Source. Эти обновления позволяют устранить уязвимости, классифицируемые как критические. При успешном использовании эти уязвимости могли привести к выполнению произвольного кода.
Чтобы оставаться в курсе последних мер защиты, клиенты должны последовательно применить два исправления: сначала исправление MDVA-43395, а затем MDVA-43443.
Adobe известно, что уязвимость CVE-2022-24086 активно использовалась в очень ограниченных атаках, нацеленных на продавцов Adobe Commerce.
Затронутые версии
| Продукт | Версия | Платформа |
|---|---|---|
| Adobe Commerce | 2.4.3-p1 и более ранние версии |
Все |
| 2.3.7-p2 и более ранние версии |
Все |
|
| Magento Open Source |
2.4.3-p1 и более ранние версии |
Все |
| 2.3.7-p2 и более ранние версии | Все |
Примечание: версии Adobe Commerce и Magento Open Source 2.3.0 - 2.3.3 не затронуты.
Решение
Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.
| Продукт | Обновленная версия | Платформа | Рейтинг приоритета | Инструкции по установке |
|---|---|---|---|---|
Adobe Commerce 2.4.3 - 2.4.3-p1
|
Все |
1 |
||
Adobe Commerce 2.3.4-p2 - 2.4.2-p2
Magento Open Source 2.3.4-p2 - 2.4.2-p2 |
||||
Adobe Commerce 2.3.3-p1 - 2.3.4
Magento Open Source 2.3.3-p1 - 2.3.4 |
Сведения об уязвимости
| Категория уязвимости | Влияние уязвимости | Серьезность | Требуется ли аутентификация для использования? | Для использования нужны права администратора? |
Базовая оценка CVSS |
Вектор CVSS |
Magento Bug ID | Номера CVE |
|---|---|---|---|---|---|---|---|---|
Неправильная проверка ввода (CWE-20) |
Выполнение произвольного кода |
Критическая |
Нет |
Нет |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3118 |
CVE-2022-24086
|
| Неправильная проверка ввода (CWE-20) |
Выполнение произвольного кода |
Критическая |
Нет | Нет | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3120 |
CVE-2022-24087 |
Редакции
17 февраля 2022 г.:
- Обновлены затронутые версии для CVE-2022-24086
- Обновлены сведения о CVE и подтверждения для CVE-2022-24087
14 февраля 2022 г.:
- Уточнены заголовки столбцов в таблице сведений об уязвимостях
Благодарности
Компания Adobe выражает благодарность следующим исследователям за сообщение об этой проблеме и за помощь Adobe в защите наших клиентов:
- Eboda & Blaklis (CVE-2022-24087)
Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com.
Adobe MAX
— творческая конференция
С 14 по 16 октября очно в Майами-Бич и онлайн
Adobe MAX
Творческая конференция
С 14 по 16 октября очно в Майами-Бич и онлайн