DokumentationHandelCommerce KB

Säkerhetsuppdateringar för Adobe Commerce APSB22-12

Last update: Mon Jul 15 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Skapat för:

  • Utvecklare
NOTE
UPPDATERING: Vi har upptäckt ytterligare säkerhetsskydd som krävs för CVE-2022-24086 och har släppt en uppdatering som åtgärdar dem (CVE-2022-24087). Säkerhetsuppdateringen för kunder är tillgänglig här.

Adobe har släppt säkerhetsuppdateringar för Adobe Commerce och Magento Open Source. Uppdateringarna åtgärdar en sårbarhet som klassats som critical. Ett lyckat utnyttjande kan leda till exekvering av godtycklig kod.

Adobe är medvetet om att CVE-2022-24086 har använts i mycket begränsade attacker mot Adobe Commerce handlare. Adobe är inte medveten om att något har utnyttjats i den här uppdateringen (CVE-2022-24087).

I den här artikeln finns ytterligare information om hur du åtgärdar problemet.

Berörda produkter och versioner

  • Adobe Commerce och Magento Open Source 2.3.3-p1 - 2.3.7-p2 och 2.4.0 - 2.4.3-p1

Adobe Commerce lösning för molninfrastruktur

Problemet löstes i Cloud Patches-paketet v1.0.16. Vi rekommenderar att du uppgraderar till det senaste Creative Cloud Patches-paketet för att åtgärda problemet. Det senaste Cloud Patches-paketet inkluderar alla uppgraderingar från tidigare paket.

Innan du uppgraderar till det senaste Creative Cloud Patches-paketet måste du avinstallera de anpassade patcharna för APSB22-12. MDVA-43395 och MDVA-43443 korrigeras. Följ stegen nedan för att göra detta.

  1. Kontrollera om patcharna MDVA-43395 och MDVA-43443 är installerade. Följ de här stegen för att ta reda på om korrigeringarna används.
  2. Om patcharna är installerade följer du de här stegen för att avinstallera dem.
  3. Om du vill uppgradera till det senaste Cloud Patches-paketet kör du följande kommando: composer update magento/magento-cloud-patches.
  4. Verkställ och skicka composer.lock- och composer.json-filer.
  5. Återdistribuera.

Lösningar för Adobe Commerce lokalt och Magento Open Source

För att åtgärda säkerhetsluckan om du befinner dig på Adobe Commerce lokalt eller Magento Open Source måste du först lägga till två korrigeringsfiler: MDVA-43395 och sedan MDVA-43443.

Använd följande bifogade patchar, beroende på vilken version av Adobe Commerce du har:

Adobe Commerce 2.4.3 - 2.4.3-p1:

Adobe Commerce 2.3.4-p2 - 2.4.2-p2:

Adobe Commerce 2.3.3-p1 - 2.3.4:

Använda en kompositkorrigering

Zippa upp filen och följ instruktionerna på Använda en kompositkorrigering från Adobe.

Hur man vet om plåstren har använts how-to-tell-whether-the-patches-have-been-applied

Eftersom det inte är enkelt att kontrollera om problemet har åtgärdats, kanske du vill kontrollera om MDVA-43395- och MDVA-43443-korrigeringsfilerna har tillämpats.

Du kan göra detta genom att utföra följande steg:

  1. Installera verktyget för kvalitetskorrigeringar.
  2. Kör följande kommando: vendor/bin/magento-patches -n status |grep "43395|43443|Status"
  3. Du bör se dessa utdata - MDVA-43395 returnerar statusen N/A och MDVA-43443 returnerar statusen Används:
║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
║ N/A           │ ../m2-hotfixes/MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom                               ║
║ MDVA-43395    │ Parser token fix                                             │ Other           │ Adobe Commerce Support │ N/A         │ Patch type: Required                             ║
║ N/A           │ ../m2-hotfixes/MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch      │ Other           │ Local                  │ N/A         │ Patch type: Custom                               ║

Säkerhetsuppdateringar

Säkerhetsuppdateringar för Adobe Commerce:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a