Mises à jour de sécurité disponibles pour Adobe Commerce APSB22-12
Adobe a publié des mises à jour de sécurité pour Adobe Commerce et Magento Open Source. Ces mises à jour résolvent une vulnérabilité notée critique. Une exploitation réussie peut entraîner l’exécution arbitraire du code.
Adobe sait que CVE-2022-24086 a été utilisé dans des attaques très limitées ciblant des commerçants Adobe Commerce. Adobe n’a pas connaissance d’exploits dans la nature pour le problème traité dans cette mise à jour (CVE-2022-24087).
Cet article fournit des détails supplémentaires sur les solutions pour résoudre le problème.
Produits et versions concernés
- Adobe Commerce et Magento Open Source 2.3.3-p1 - 2.3.7-p2 et 2.4.0 - 2.4.3-p1
Solution pour Adobe Commerce sur l’infrastructure cloud
Le problème a été résolu dans le package Cloud Patches v1.0.16. Nous vous recommandons d’effectuer une mise à niveau vers le dernier package de correctifs Cloud pour résoudre ce problème. Le dernier module Correctifs de Cloud comprend toutes les mises à niveau des modules précédents.
Avant de procéder à la mise à niveau vers le dernier package de correctifs Cloud, vous devez désinstaller les correctifs personnalisés liés à APSB22-12. Plus précisément, les correctifs MDVA-43395 et MDVA-43443. Pour ce faire, procédez comme suit.
- Vérifiez si les correctifs MDVA-43395 et MDVA-43443 sont installés. Suivez ces étapes pour savoir si les correctifs sont appliqués.
- Si les correctifs sont installés, procédez comme suit pour les désinstaller.
- Pour effectuer la mise à niveau vers le dernier package de correctifs Cloud, exécutez la commande suivante :
composer update magento/magento-cloud-patches
. - Validez et poussez les fichiers
composer.lock
etcomposer.json
. - Redéployez.
Solution pour Adobe Commerce sur site et Magento Open Source
Pour résoudre la vulnérabilité si vous utilisez Adobe Commerce sur site ou Magento Open Source, vous devez appliquer deux correctifs : le correctif MDVA-43395, puis le correctif MDVA-43443.
Utilisez les correctifs ci-joints suivants, en fonction de votre version d’Adobe Commerce :
Adobe Commerce 2.4.3 - 2.4.3-p1 :
Adobe Commerce 2.3.4-p2 - 2.4.2-p2 :
Adobe Commerce 2.3.3-p1 - 2.3.4 :
Comment appliquer un correctif de compositeur
Décompressez le fichier et suivez les instructions de la section Comment appliquer un correctif de compositeur fourni par Adobe.
Comment déterminer si les correctifs ont été appliqués how-to-tell-whether-the-patches-have-been-applied
Étant donné qu’il n’est pas possible de vérifier facilement si le problème a été résolu, vous pouvez vérifier si les correctifs MDVA-43395 et MDVA-43443 ont bien été appliqués.
Pour ce faire, procédez comme suit :
- Installation de l’outil de correctifs de qualité.
- Exécutez la commande suivante :
vendor/bin/magento-patches -n status |grep "43395|43443|Status"
- Vous devriez voir cette sortie : MDVA-43395 renvoie l’état N/A et MDVA-43443 renvoie l’état Appliqué :
║ Id │ Title │ Category │ Origin │ Status │ Details ║
║ N/A │ ../m2-hotfixes/MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch │ Other │ Local │ Applied │ Patch type: Custom ║
║ MDVA-43395 │ Parser token fix │ Other │ Adobe Commerce Support │ N/A │ Patch type: Required ║
║ N/A │ ../m2-hotfixes/MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch │ Other │ Local │ N/A │ Patch type: Custom ║
Mises à jour de sécurité
Mises à jour de sécurité disponibles pour Adobe Commerce :