Adobe Commerce APSB22-12可用的安全性更新
NOTE
更新:我們已發現CVE-2022-24086所需的額外安全性保護,並已發佈更新以解決這些問題(CVE-2022-24087)。 此處提供客戶的安全性更新。
Adobe已發佈Adobe Commerce和Magento Open Source的安全性更新。 這些更新解決分級為嚴重的漏洞。 成功利用此漏洞可能會導致執行任意程式碼。
Adobe得知,CVE-2022-24086僅用於針對Adobe Commerce商家的有限攻擊。 Adobe並未發現此更新中解決之問題的任何惡意攻擊(CVE-2022-24087)。
本文提供其他解決方案詳細資訊以修正問題。
受影響的產品和版本
- Adobe Commerce和Magento Open Source2.3.3-p1 - 2.3.7-p2和2.4.0 - 2.4.3-p1
雲端基礎結構上的Adobe Commerce解決方案
此問題已在雲端修補程式套件v1.0.16中解決。 建議您升級至最新雲端修補程式套件以修正此問題。 最新的雲端修補程式套件將包含先前套件中的所有升級。
在升級至最新的雲端修補程式套件之前,您必須先解除安裝與APSB22-12相關的自訂修補程式。 尤其是MDVA-43395和MDVA-43443修補程式。 請依照下列步驟以執行此操作。
適用於Adobe Commerce內部部署和Magento Open Source的解決方案
若要解決您在Adobe Commerce內部部署或Magento Open Source中的弱點,您必須先套用兩個修補程式:MDVA-43395修補程式,然後在其上套用MDVA-43443。
根據您的Adobe Commerce版本,使用以下附加修補程式:
Adobe Commerce 2.4.3 - 2.4.3-p1:
Adobe Commerce 2.3.4-p2 - 2.4.2-p2:
Adobe Commerce 2.3.3-p1 - 2.3.4:
如何套用撰寫器修補程式
解壓縮檔案,並遵循如何套用Adobe提供的撰寫器修補程式的指示。
如何判斷是否已套用修補程式 :headding-anchor:how-to-tell-whether-the-patches-have-been-applied
考慮到無法輕易檢查問題是否已修補,您可能想要檢查MDVA-43395和MDVA-43443修補程式是否已成功套用。
您可以透過下列步驟完成此操作:
- 安裝品質修補工具。
- 執行以下命令:
vendor/bin/magento-patches -n status |grep "43395|43443|Status"
- 您應該會看到此輸出 — MDVA-43395傳回 N/A 狀態,而MDVA-43443傳回 已套用 狀態:
║ Id │ Title │ Category │ Origin │ Status │ Details ║
║ N/A │ ../m2-hotfixes/MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch │ Other │ Local │ Applied │ Patch type: Custom ║
║ MDVA-43395 │ Parser token fix │ Other │ Adobe Commerce Support │ N/A │ Patch type: Required ║
║ N/A │ ../m2-hotfixes/MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch │ Other │ Local │ N/A │ Patch type: Custom ║
安全性更新
Adobe Commerce可用的安全性更新:
recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a