Atualizações de segurança disponíveis para o Adobe Commerce APSB22-12

NOTE
ATUALIZAÇÃO: Descobrimos proteções de segurança adicionais necessárias para o CVE-2022-24086 e lançamos uma atualização para resolvê-las (CVE-2022-24087). A atualização de segurança para clientes está disponível aqui.

A Adobe lançou atualizações de segurança para o Adobe Commerce e o Magento Open Source. Essas atualizações resolvem uma vulnerabilidade classificada crítico. A exploração bem-sucedida pode levar à execução arbitrária de códigos.

O Adobe está ciente de que o CVE-2022-24086 foi usado em ataques muito limitados direcionados aos comerciantes do Adobe Commerce. O Adobe não está ciente de qualquer exploração em estado selvagem do problema abordado nesta atualização (CVE-2022-24087).

Este artigo fornece detalhes adicionais da solução para corrigir o problema.

Produtos e versões afetados

  • Adobe Commerce e Magento Open Source 2.3.3-p1 - 2.3.7-p2 e 2.4.0 - 2.4.3-p1

Solução para Adobe Commerce na infraestrutura em nuvem

O problema foi resolvido em Pacote de Patches da nuvem v1.0.16. Recomendamos atualizar para o pacote mais recente de Patches na nuvem para corrigir esse problema. O pacote mais recente de Patches na nuvem incluirá todas as atualizações de pacotes anteriores.

Antes de atualizar para o pacote mais recente de Patches na nuvem, é necessário desinstalar os patches personalizados relacionados ao APSB22-12. Especificamente, os patches MDVA-43395 e MDVA-43443. Para fazer isso, siga as etapas abaixo.

  1. Verifique se os patches MDVA-43395 e MDVA-43443 estão instalados. Siga estas etapas para saber se os patches foram aplicados.
  2. Se os patches estiverem instalados, siga estas etapas para desinstalá-los.
  3. Para atualizar para o pacote mais recente de Patches na nuvem, execute o seguinte comando: composer update magento/magento-cloud-patches.
  4. Confirmar e enviar composer.lock e composer.json arquivos.
  5. Reimplante.

Solução para Adobe Commerce no local e Magento Open Source

Para resolver a vulnerabilidade se você estiver no Adobe Commerce no local ou no Magento Open Source, aplique dois patches: primeiro o patch MDVA-43395 e depois o patch MDVA-43443 sobre ele.

Use os seguintes patches anexados, dependendo da sua versão do Adobe Commerce:

Adobe Commerce 2.4.3 - 2.4.3-p1:

Adobe Commerce 2.3.4-p2 - 2.4.2-p2:

Adobe Commerce 2.3.3-p1 - 2.3.4:

Como aplicar uma correção do compositor

Descompacte o arquivo e siga as instruções em Como aplicar um patch de compositor fornecido pelo Adobe.

Como saber se os patches foram aplicados how-to-tell-whether-the-patches-have-been-applied

Considerando que não é possível verificar facilmente se o problema foi corrigido, talvez você queira verificar se os patches MDVA-43395 e MDVA-43443 foram aplicados com sucesso.

Você pode fazer isso executando as seguintes etapas:

  1. Instale a Ferramenta de correções de qualidade.
  2. Execute o seguinte comando: vendor/bin/magento-patches -n status |grep "43395|43443|Status"
  3. Você deve ver essa saída - MDVA-43395 retorna a variável N/D e MDVA-43443 retorna o valor de Aplicado Status:
║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
║ N/A           │ ../m2-hotfixes/MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom                               ║
║ MDVA-43395    │ Parser token fix                                             │ Other           │ Adobe Commerce Support │ N/A         │ Patch type: Required                             ║
║ N/A           │ ../m2-hotfixes/MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch      │ Other           │ Local                  │ N/A         │ Patch type: Custom                               ║

Atualizações de segurança

Atualizações de segurança disponíveis para o Adobe Commerce:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a