Atualizações de segurança disponíveis para o Adobe Commerce APSB22-12
A Adobe lançou atualizações de segurança para o Adobe Commerce e o Magento Open Source. Essas atualizações resolvem uma vulnerabilidade classificada crítico. A exploração bem-sucedida pode levar à execução arbitrária de códigos.
O Adobe está ciente de que o CVE-2022-24086 foi usado em ataques muito limitados direcionados aos comerciantes do Adobe Commerce. O Adobe não está ciente de qualquer exploração em estado selvagem do problema abordado nesta atualização (CVE-2022-24087).
Este artigo fornece detalhes adicionais da solução para corrigir o problema.
Produtos e versões afetados
- Adobe Commerce e Magento Open Source 2.3.3-p1 - 2.3.7-p2 e 2.4.0 - 2.4.3-p1
Solução para Adobe Commerce na infraestrutura em nuvem
O problema foi resolvido em Pacote de Patches da nuvem v1.0.16. Recomendamos atualizar para o pacote mais recente de Patches na nuvem para corrigir esse problema. O pacote mais recente de Patches na nuvem incluirá todas as atualizações de pacotes anteriores.
Antes de atualizar para o pacote mais recente de Patches na nuvem, é necessário desinstalar os patches personalizados relacionados ao APSB22-12. Especificamente, os patches MDVA-43395 e MDVA-43443. Para fazer isso, siga as etapas abaixo.
- Verifique se os patches MDVA-43395 e MDVA-43443 estão instalados. Siga estas etapas para saber se os patches foram aplicados.
- Se os patches estiverem instalados, siga estas etapas para desinstalá-los.
- Para atualizar para o pacote mais recente de Patches na nuvem, execute o seguinte comando:
composer update magento/magento-cloud-patches
. - Confirmar e enviar
composer.lock
ecomposer.json
arquivos. - Reimplante.
Solução para Adobe Commerce no local e Magento Open Source
Para resolver a vulnerabilidade se você estiver no Adobe Commerce no local ou no Magento Open Source, aplique dois patches: primeiro o patch MDVA-43395 e depois o patch MDVA-43443 sobre ele.
Use os seguintes patches anexados, dependendo da sua versão do Adobe Commerce:
Adobe Commerce 2.4.3 - 2.4.3-p1:
Adobe Commerce 2.3.4-p2 - 2.4.2-p2:
Adobe Commerce 2.3.3-p1 - 2.3.4:
Como aplicar uma correção do compositor
Descompacte o arquivo e siga as instruções em Como aplicar um patch de compositor fornecido pelo Adobe.
Como saber se os patches foram aplicados how-to-tell-whether-the-patches-have-been-applied
Considerando que não é possível verificar facilmente se o problema foi corrigido, talvez você queira verificar se os patches MDVA-43395 e MDVA-43443 foram aplicados com sucesso.
Você pode fazer isso executando as seguintes etapas:
- Instale a Ferramenta de correções de qualidade.
- Execute o seguinte comando:
vendor/bin/magento-patches -n status |grep "43395|43443|Status"
- Você deve ver essa saída - MDVA-43395 retorna a variável N/D e MDVA-43443 retorna o valor de Aplicado Status:
║ Id │ Title │ Category │ Origin │ Status │ Details ║
║ N/A │ ../m2-hotfixes/MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch │ Other │ Local │ Applied │ Patch type: Custom ║
║ MDVA-43395 │ Parser token fix │ Other │ Adobe Commerce Support │ N/A │ Patch type: Required ║
║ N/A │ ../m2-hotfixes/MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch │ Other │ Local │ N/A │ Patch type: Custom ║
Atualizações de segurança
Atualizações de segurança disponíveis para o Adobe Commerce: