可用于Adobe Commerce APSB22-12的安全更新

Adobe已发布Adobe Commerce和Magento Open Source的安全更新。 这些更新可解决评级为critical的漏洞。 成功利用此漏洞可能会导致执行任意代码。

Adobe了解，CVE-2022-24086已被用于针对Adobe Commerce商家的非常有限的攻击。 Adobe目前尚不了解本更新中所述问题的任何利用漏洞行为(CVE-2022-24087)。

本文提供了有关修复问题的其他解决方案详细信息。

受影响的产品和版本

云基础架构上的Adobe Commerce解决方案

已在云修补程序包v1.0.16中解决了此问题。 我们建议升级到最新云修补程序包以修复此问题。 最新的云修补程序包将包含以前包的所有升级。

在升级到最新的云修补程序包之前，您需要卸载与APSB22-12相关的自定义修补程序。 具体而言，MDVA-43395和MDVA-43443修补程序。 为此，请执行以下步骤。

适用于Adobe Commerce内部部署和Magento Open Source的解决方案

要解决此漏洞(如果您在Adobe Commerce内部部署或Magento Open Source上)，必须首先应用两个修补程序：MDVA-43395修补程序，然后在其上应用MDVA-43443。

根据您的Adobe Commerce版本，使用以下附加的修补程序：

Adobe Commerce 2.4.3 - 2.4.3-p1：

Adobe Commerce 2.3.4-p2 - 2.4.2-p2：

Adobe Commerce 2.3.3-p1 - 2.3.4：

如何应用编辑器修补程序

解压缩文件并按照如何应用Adobe提供的编辑器修补程序中的说明操作。

如何判断是否已应用修补程序 how-to-tell-whether-the-patches-have-been-applied

考虑到无法轻松检查问题是否已修补，您可能需要检查MDVA-43395和MDVA-43443修补程序是否已成功应用。

为此，您可以执行以下步骤：

║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
║ N/A           │ ../m2-hotfixes/MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom                               ║
║ MDVA-43395    │ Parser token fix                                             │ Other           │ Adobe Commerce Support │ N/A         │ Patch type: Required                             ║
║ N/A           │ ../m2-hotfixes/MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch      │ Other           │ Local                  │ N/A         │ Patch type: Custom                               ║

安全更新

可用于Adobe Commerce的安全更新：