Adobe Güvenlik Bülteni

Ara

Son güncelleme: 25 Şub 2022

Adobe Commerce için güvenlik güncellemesi mevcut | APSB22-12

Bülten No	Yayınlandığı Tarih	Son Güncelleştirme	Öncelik
APSB22-12	13 Şubat  2022	17 Şubat 2022	1

Özet

Adobe, Adobe Commerce ve Magento Open Source için güvenlik güncellemeleri yayınladı. Bu güncellemeler, önemli olarak sınıflandırılan bir güvenlik açığını çözer. Bu açıktan başarıyla yararlanılırsa rastgele kod yürütme gerçekleşebilir.

En son korumalardan haberdar olmak için müşterilerin iki yama uygulaması gerekir: Önce MDVA-43395 yaması ve ardından MDVA-43443.

Adobe, CVE-2022-24086'nın Adobe Commerce satıcılarını hedef alan çok sınırlı saldırılarda vahşi ortamda ihlal edildiğinin farkındadır.

Etkilenen Sürümler

Ürün	Sürüm	Platform
Adobe Commerce	2.4.3-p1 ve önceki sürümler	Tümü
Adobe Commerce	2.3.7-p2 ve önceki sürümler	Tümü
Magento Open Source	2.4.3-p1 ve önceki sürümler	Tümü
Magento Open Source	2.3.7-p2 ve önceki sürümler	Tümü

Not: Adobe Commerce ve Magento Open Source sürümleri 2.3.0 - 2.3.3 etkilenmez.

Çözüm

Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.

Ürün	Güncel sürüm	Platform	Öncelik Derecelendirmesi	Kurulum Talimatları
Adobe Commerce 2.4.3 - 2.4.3-p1 Magento Open Source 2.4.3 - 2.4.3-p1	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip ve MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip ve MDVA-43443_EE_2.4.3-p1_v1.patch.zip	Tümü	1	Sürüm Notları

Adobe Commerce 2.3.4-p2 - 2.4.2-p2 Magento Open Source 2.3.4-p2 - 2.4.2-p2	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip ve MDVA-43443_EE_2.4.2-p2_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip ve MDVA-43443_EE_2.4.2-p2_v1.patch.zip

Adobe Commerce 2.3.3-p1 - 2.3.4 Magento Open Source 2.3.3-p1 - 2.3.4	MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip ve MDVA-43443_EE_2.3.4_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_v1.patch.zip ve MDVA-43443_EE_2.3.4_v1.patch.zip

Güvenlik Açığı Detayları

Güvenlik Açığı Kategorisi	Güvenlik Açığı Etkisi	Önem Derecesi	Açıktan yararlanma için kimlik doğrulama gerekli mi?	Açıktan yararlanma yönetici ayrıcalıkları gerektiriyor mu?	CVSS baz skoru	CVSS vektörü	Magento Bug ID	CVE sayısı
Uygunsuz Giriş Doğrulaması (CWE-20)	Rastgele Kod Yürütme	Kritik	No	No	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	PRODSECBUG-3118	CVE-2022-24086
Uygunsuz Giriş Doğrulaması (CWE-20)	Rastgele Kod Yürütme	Kritik	No	No	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	PRODSECBUG-3120	CVE-2022-24087

Güvenlik Açığı Kategorisi

Güvenlik Açığı Etkisi

Önem Derecesi

Açıktan yararlanma için kimlik doğrulama gerekli mi?

Açıktan yararlanma yönetici ayrıcalıkları gerektiriyor mu?

CVSS baz skoru

CVSS vektörü

Magento Bug ID

CVE sayısı

Uygunsuz Giriş Doğrulaması (CWE-20)

Rastgele Kod Yürütme

Kritik

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3118

CVE-2022-24086

Uygunsuz Giriş Doğrulaması (CWE-20)

Rastgele Kod Yürütme

Kritik

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-3120

CVE-2022-24087

Değişiklikler

17 Şubat 2022:

- CVE-2022-24086 için etkilenen sürümler güncellendi

- CVE-2022-24087 için güncellenmiş CVE ayrıntıları ve teşekkür

14 Şubat 2022:

- Güvenlik Açığı Ayrıntıları tablosunda netleştirilmiş sütun başlıkları

Teşekkür

Adobe, bu sorunu bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder: