可用于Adobe Commerce APSB22-12的安全更新
NOTE
更新:我们发现了CVE-2022-24086所需的其他安全保护,并发布了解决这些问题的更新(CVE-2022-24087)。 此处提供了客户的安全更新。
Adobe已发布Adobe Commerce和Magento Open Source的安全更新。 这些更新可解决评级为critical的漏洞。 成功利用此漏洞可能会导致执行任意代码。
Adobe了解,CVE-2022-24086已被用于针对Adobe Commerce商家的非常有限的攻击。 Adobe目前尚不了解本更新中所述问题的任何利用漏洞行为(CVE-2022-24087)。
本文提供了有关修复问题的其他解决方案详细信息。
受影响的产品和版本
- Adobe Commerce和Magento Open Source2.3.3-p1 - 2.3.7-p2和2.4.0 - 2.4.3-p1
云基础架构上的Adobe Commerce解决方案
已在云修补程序包v1.0.16中解决了此问题。 我们建议升级到最新云修补程序包以修复此问题。 最新的云修补程序包将包含以前包的所有升级。
在升级到最新的云修补程序包之前,您需要卸载与APSB22-12相关的自定义修补程序。 具体而言,MDVA-43395和MDVA-43443修补程序。 为此,请执行以下步骤。
适用于Adobe Commerce内部部署和Magento Open Source的解决方案
要解决此漏洞(如果您在Adobe Commerce内部部署或Magento Open Source上),必须首先应用两个修补程序:MDVA-43395修补程序,然后在其上应用MDVA-43443。
根据您的Adobe Commerce版本,使用以下附加的修补程序:
Adobe Commerce 2.4.3 - 2.4.3-p1:
Adobe Commerce 2.3.4-p2 - 2.4.2-p2:
Adobe Commerce 2.3.3-p1 - 2.3.4:
如何应用编辑器修补程序
解压缩文件并按照如何应用Adobe提供的编辑器修补程序中的说明操作。
如何判断是否已应用修补程序 how-to-tell-whether-the-patches-have-been-applied
考虑到无法轻松检查问题是否已修补,您可能需要检查MDVA-43395和MDVA-43443修补程序是否已成功应用。
为此,您可以执行以下步骤:
- 安装质量修补程序工具。
- 运行以下命令:
vendor/bin/magento-patches -n status |grep "43395|43443|Status"
- 您应该会看到此输出 — MDVA-43395返回 N/A 状态,而MDVA-43443返回 已应用 状态:
║ Id │ Title │ Category │ Origin │ Status │ Details ║
║ N/A │ ../m2-hotfixes/MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch │ Other │ Local │ Applied │ Patch type: Custom ║
║ MDVA-43395 │ Parser token fix │ Other │ Adobe Commerce Support │ N/A │ Patch type: Required ║
║ N/A │ ../m2-hotfixes/MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch │ Other │ Local │ N/A │ Patch type: Custom ║
安全更新
可用于Adobe Commerce的安全更新:
recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a