Actualizaciones de seguridad disponibles para Adobe Commerce APSB22-12
El Adobe de ha lanzado actualizaciones de seguridad para Adobe Commerce y Magento Open Source. Estas actualizaciones resuelven una vulnerabilidad calificada como crítica. Una explotación correcta podría llevar a la ejecución de código arbitrario.
El Adobe es consciente de que el CVE-2022-24086 se ha utilizado en ataques muy limitados dirigidos a comerciantes de Adobe Commerce. El Adobe no tiene conocimiento de ninguna explotación en el medio natural para el problema abordado en esta actualización (CVE-2022-24087).
Este artículo proporciona detalles adicionales de la solución para solucionar el problema.
Productos y versiones afectados
- Adobe Commerce y Magento Open Source 2.3.3-p1 - 2.3.7-p2 y 2.4.0 - 2.4.3-p1
Solución para Adobe Commerce en infraestructura en la nube
El problema se resolvió en Paquete de parches de nube v1.0.16. Recomendamos actualizar al último paquete de parches de nube para solucionar este problema. El último paquete de parches de nube incluirá todas las actualizaciones de paquetes anteriores.
Antes de actualizar al paquete más reciente de parches en la nube, debe desinstalar los parches personalizados relacionados con APSB22-12. En concreto, los parches MDVA-43395 y MDVA-43443. Para ello, siga los pasos a continuación.
- Compruebe si están instalados los parches MDVA-43395 y MDVA-43443. Siga estos pasos para saber si se aplican los parches.
- Si los parches están instalados, siga estos pasos para desinstalarlos.
- Para actualizar al paquete de parches de nube más reciente, ejecute el siguiente comando:
composer update magento/magento-cloud-patches. - Confirme y envíe
composer.lockycomposer.jsonarchivos. - Volver a implementar.
Solución para Magento Open Source y locales de Adobe Commerce
Para resolver la vulnerabilidad si está en Adobe Commerce local o en un Magento Open Source, debe aplicar dos parches: primero MDVA-43395 y luego MDVA-43443.
Utilice los siguientes parches adjuntos, según la versión de Adobe Commerce:
Adobe Commerce 2.4.3 - 2.4.3-p1:
Adobe Commerce 2.3.4-p2 - 2.4.2-p2:
Adobe Commerce 2.3.3-p1 - 2.3.4:
Cómo aplicar un parche del compositor
Descomprima el archivo y siga las instrucciones de Cómo aplicar un parche del compositor proporcionado por el Adobe.
Cómo saber si se han aplicado los parches how-to-tell-whether-the-patches-have-been-applied
Teniendo en cuenta que no es posible comprobar fácilmente si el problema se ha corregido, es posible que desee comprobar si los parches MDVA-43395 y MDVA-43443 se han aplicado correctamente.
Para ello, siga los siguientes pasos:
- Instalar la herramienta Parches de calidad.
- Ejecute el siguiente comando:
vendor/bin/magento-patches -n status |grep "43395|43443|Status" - Debería ver este resultado: MDVA-43395 devuelve el estado N/A y MDVA-43443 devuelve el estado Aplicado:
║ Id │ Title │ Category │ Origin │ Status │ Details ║
║ N/A │ ../m2-hotfixes/MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch │ Other │ Local │ Applied │ Patch type: Custom ║
║ MDVA-43395 │ Parser token fix │ Other │ Adobe Commerce Support │ N/A │ Patch type: Required ║
║ N/A │ ../m2-hotfixes/MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch │ Other │ Local │ N/A │ Patch type: Custom ║
Actualizaciones de seguridad
Actualizaciones de seguridad disponibles para Adobe Commerce: