В воскресенье, 13 февраля, Adobe опубликовала бюллетень по безопасности. Компания выпустила исправления для новой критической уязвимости 0 дня, связанной с выполнением произвольного кода, в продуктах Magento и Commerce с открытым исходным кодом Adobe. Уязвимость, отслеживаемая как CVE-2022-24086, характеризуется неправильной проверкой ввода. Злоумышленники могут злоупотреблять этим, чтобы добиться выполнения произвольного кода в уязвимых версиях продуктов, поскольку это предварительно аутентифицированная уязвимость с оценкой CVSS 9,8 из 10. Она критична. Будет лучше, если вы это исправите. В этом посте мы рассмотрим, как исправить CVE-2022-24086 — критическую уязвимость 0 дня, связанную с выполнением произвольного кода, в продуктах Magento и Commerce с открытым исходным кодом Adobe.
Что такое неправильная проверка ввода?
Во-первых, посмотрите, что такое проверка ввода. Проверка входных данных — это распространенный метод, используемый для проверки потенциально опасных входных данных, чтобы убедиться, что входные данные безопасны для обработки в коде или при обмене данными с другими программными компонентами. Когда программное обеспечение не может правильно проверить входные данные, злоумышленники могут создать вредоносный ввод в форме, не ожидаемой остальной частью приложения. Это приведет к тому, что части системы получат непреднамеренный ввод, что приведет к изменению потока управления, произвольному управлению ресурсом или выполнению произвольного кода.
Краткое изложение CVE-2022-24086 — уязвимости выполнения произвольного кода в Magento и Commerce:
Это ошибка предварительной проверки подлинности, характеризующаяся неправильной проверкой ввода. Злоумышленники могут использовать это для выполнения произвольного кода на уязвимых версиях продуктов Adobe.
| Связанный идентификатор CVE | CVE-2022-0513 |
| Описание | Неправильная проверка ввода в продуктах Adobe с открытым исходным кодом Magento и Commerce. |
| Связанный идентификатор ZDI | – |
| Оценка CVSS | 9.8 Критический |
| Вектор | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Оценка воздействия | – |
| Оценка эксплуатационной пригодности | – |
| Вектор атаки (AV) | Сеть |
| Сложность атаки (AC) | Низкий |
| Требуется привилегия (PR) | Нет |
| Взаимодействие с пользователем (пользовательский интерфейс) | Нет |
| Объем | Без изменений |
| Конфиденциальность (С) | Высокая |
| Целостность (Я) | Высокая |
| доступность (а) | Высокая |
Продукты Adobe, подверженные уязвимости CVE-2022-24086:
Уязвимость затрагивает продукты Adobe с открытым исходным кодом Magento и Commerce 2.4.3-p1 и более ранние версии, а также 2.3.7-p2 и более ранние версии.
Примечание. Adobe подтвердила, что Commerce 2.3.3 и более ранние версии не затрагиваются.
| Продукт | Версия | Платформа |
|---|---|---|
| Adobe Commerce | 2.4.3-p1 и более ранние версии | Все |
| 2.3.7-p2 и более ранние версии | Все | |
| Magento с открытым исходным кодом | 2.4.3-p1 и более ранние версии | Все |
| 2.3.7-p2 и более ранние версии | Все |
Как исправить CVE-2022-24086 — уязвимость выполнения произвольного кода в Magento и Commerce?
Adobe отреагировала на уязвимость, выпустив исправления для ее устранения. Adobe рекомендует пользователям обновить свою установку до последней версии. Здесь вы можете увидеть информацию об исправленной версии в таблице.
| Товар | Обновленная версия | Платформа | Приоритетный рейтинг | инструкции по установке |
|---|---|---|---|---|
| Adobe Commerce | MDVA-43395_EE_2.4.3-p1_v1 | Все | 1 | Примечания к выпуску |
Как исправить CVE-2022-24086 — уязвимость выполнения произвольного кода в Magento и Commerce?
- Скачать патчи
Загрузите один из следующих патчей:
- Применение исправления композитора для Adobe Commerce в облачной инфраструктуре
Скопируйте файлы %patch_name%.composer.patch в каталог m2-hotfixes. Создайте каталог в корне проекта, если у вас его нет.
Добавьте, зафиксируйте и отправьте изменения кода:
# git add -A
# git commit -m «Apply %patch_name%.composer.patch patch»
# git push origin - Применение исправления композитора для локальной версии Adobe Commerce и Magento с открытым исходным кодом
Загрузите загруженные файлы исправлений в локальный каталог Adobe Commerce или в корневой каталог Magento с открытым исходным кодом. Выполните следующую команду
# patch -p1 < %patch_name%.composer.patch
ИЛИ
# patch -p2 < %patch_name%.composer.patch - Обновить кеш
Обновите кеш, чтобы применить изменения:
Администратор в разделе Система > Управление кешем .
Мы надеемся, что этот пост поможет вам узнать, как исправить CVE-2022-24086 — критическую уязвимость нулевого дня, связанную с выполнением произвольного кода , в продуктах Magento и Commerce с открытым исходным кодом Adobe.
Нужна помощь в обновлении, обращайтесь [email protected]