Aggiornamenti di sicurezza disponibili per Adobe Commerce APSB22-12
Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Commerce e Magento Open Source. Questi aggiornamenti risolvono una vulnerabilità classificata critica. Un utilizzo corretto potrebbe causare un’esecuzione arbitraria del codice.
Adobe è consapevole del fatto che CVE-2022-24086 è stato utilizzato in attacchi molto limitati rivolti ai commercianti Adobe Commerce. L’Adobe non è a conoscenza di alcun exploit in natura per il problema trattato in questo aggiornamento (CVE-2022-24087).
Questo articolo fornisce ulteriori dettagli sulla soluzione per risolvere il problema.
Prodotti e versioni interessati
- Adobe Commerce e Magento Open Source 2.3.3-p1 - 2.3.7-p2 e 2.4.0 - 2.4.3-p1
Soluzione per Adobe Commerce su infrastruttura cloud
Il problema è stato risolto nel pacchetto Patch cloud v1.0.16. Per risolvere il problema, è consigliabile eseguire l'aggiornamento al pacchetto di patch per cloud più recente. L’ultimo pacchetto Patch cloud includerà tutti gli aggiornamenti dei pacchetti precedenti.
Prima di effettuare l’aggiornamento al pacchetto Cloud Patches più recente, è necessario disinstallare le patch personalizzate relative ad APSB22-12. In particolare, le patch MDVA-43395 e MDVA-43443. A questo scopo, segui la procedura indicata di seguito.
- Verificare se le patch MDVA-43395 e MDVA-43443 sono installate. Segui questi passaggi per sapere se le patch sono applicate.
- Se le patch sono installate, eseguire la procedura seguente per disinstallarle.
- Per eseguire l'aggiornamento al pacchetto di patch cloud più recente, eseguire il comando seguente:
composer update magento/magento-cloud-patches. - Eseguire il commit e inviare
composer.lockecomposer.jsonfile. - Ridistribuisci.
Soluzione per Adobe Commerce on-premise e Magento Open Source
Per risolvere la vulnerabilità se si utilizza Adobe Commerce on-premise o Magento Open Source, è necessario applicare prima due patch: prima la patch MDVA-43395 e poi MDVA-43443.
Utilizza le seguenti patch allegate, a seconda della versione di Adobe Commerce in uso:
Adobe Commerce 2.4.3 - 2.4.3-p1:
Adobe Commerce 2.3.4-p2 - 2.4.2-p2:
Adobe Commerce 2.3.3-p1 - 2.3.4:
Come applicare una patch del compositore
Decomprimi il file e segui le istruzioni in Come applicare una patch del compositore fornita dall'Adobe.
Come stabilire se i cerotti sono stati applicati how-to-tell-whether-the-patches-have-been-applied
Poiché non è possibile verificare facilmente se il problema è stato corretto, è consigliabile verificare se le patch MDVA-43395 e MDVA-43443 sono state applicate correttamente.
Per farlo, segui questi passaggi:
- Installare lo strumento Patch di qualità.
- Esegui il comando seguente:
vendor/bin/magento-patches -n status |grep "43395|43443|Status" - Dovresti visualizzare questo output. MDVA-43395 restituisce lo stato N/A e MDVA-43443 restituisce lo stato Applicato:
║ Id │ Title │ Category │ Origin │ Status │ Details ║
║ N/A │ ../m2-hotfixes/MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch │ Other │ Local │ Applied │ Patch type: Custom ║
║ MDVA-43395 │ Parser token fix │ Other │ Adobe Commerce Support │ N/A │ Patch type: Required ║
║ N/A │ ../m2-hotfixes/MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch │ Other │ Local │ N/A │ Patch type: Custom ║
Aggiornamenti di sicurezza
Aggiornamenti di sicurezza disponibili per Adobe Commerce: