3/5 - (2 голоса)

В воскресенье, 13 февраля, Adobe опубликовала бюллетень по безопасности. Компания выпустила исправления для новой критической уязвимости 0 дня, связанной с выполнением произвольного кода, в продуктах Magento и Commerce с открытым исходным кодом Adobe. Уязвимость, отслеживаемая как CVE-2022-24086, характеризуется неправильной проверкой ввода. Злоумышленники могут злоупотреблять этим, чтобы добиться выполнения произвольного кода в уязвимых версиях продуктов, поскольку это предварительно аутентифицированная уязвимость с оценкой CVSS 9,8 из 10. Она критична. Будет лучше, если вы это исправите. В этом посте мы рассмотрим, как исправить CVE-2022-24086 — критическую уязвимость 0 дня, связанную с выполнением произвольного кода, в продуктах Magento и Commerce с открытым исходным кодом Adobe.

Что такое неправильная проверка ввода?

Во-первых, посмотрите, что такое проверка ввода. Проверка входных данных — это распространенный метод, используемый для проверки потенциально опасных входных данных, чтобы убедиться, что входные данные безопасны для обработки в коде или при обмене данными с другими программными компонентами. Когда программное обеспечение не может правильно проверить входные данные, злоумышленники могут создать вредоносный ввод в форме, не ожидаемой остальной частью приложения. Это приведет к тому, что части системы получат непреднамеренный ввод, что приведет к изменению потока управления, произвольному управлению ресурсом или выполнению произвольного кода.

Краткое изложение CVE-2022-24086 — уязвимости выполнения произвольного кода в Magento и Commerce:

Это ошибка предварительной проверки подлинности, характеризующаяся неправильной проверкой ввода. Злоумышленники могут использовать это для выполнения произвольного кода на уязвимых версиях продуктов Adobe.

Связанный идентификатор CVE CVE-2022-0513
Описание Неправильная проверка ввода в продуктах Adobe с открытым исходным кодом Magento и Commerce.
Связанный идентификатор ZDI
Оценка CVSS 9.8 Критический
Вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Оценка воздействия
Оценка эксплуатационной пригодности
Вектор атаки (AV) Сеть
Сложность атаки (AC) Низкий
Требуется привилегия (PR) Нет
Взаимодействие с пользователем (пользовательский интерфейс) Нет
Объем Без изменений
Конфиденциальность (С) Высокая
Целостность (Я) Высокая
доступность (а) Высокая

Продукты Adobe, подверженные уязвимости CVE-2022-24086:

Уязвимость затрагивает продукты Adobe с открытым исходным кодом Magento и Commerce 2.4.3-p1 и более ранние версии, а также 2.3.7-p2 и более ранние версии.

Примечание. Adobe подтвердила, что Commerce 2.3.3 и более ранние версии не затрагиваются.

Продукт Версия Платформа
Adobe Commerce 2.4.3-p1 и более ранние версии Все
2.3.7-p2 и более ранние версии Все
Magento с открытым исходным кодом 2.4.3-p1 и более ранние версии Все
2.3.7-p2 и более ранние версии Все

Как исправить CVE-2022-24086 — уязвимость выполнения произвольного кода в Magento и Commerce?

Adobe отреагировала на уязвимость, выпустив исправления для ее устранения. Adobe рекомендует пользователям обновить свою установку до последней версии. Здесь вы можете увидеть информацию об исправленной версии в таблице.

Товар Обновленная версия Платформа Приоритетный рейтинг инструкции по установке
Adobe Commerce MDVA-43395_EE_2.4.3-p1_v1 Все 1 Примечания к выпуску

Как исправить CVE-2022-24086 — уязвимость выполнения произвольного кода в Magento и Commerce?

  1. Скачать патчи

    Загрузите один из следующих патчей:

    MDVA-43395_EE_2.4.3-p1_v1.patch.zip

    MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip

  2. Применение исправления композитора для Adobe Commerce в облачной инфраструктуре

    Скопируйте файлы %patch_name%.composer.patch в каталог m2-hotfixes. Создайте каталог в корне проекта, если у вас его нет.

    Добавьте, зафиксируйте и отправьте изменения кода:

    # git add -A
    # git commit -m «Apply %patch_name%.composer.patch patch»
    # git push origin

     

  3. Применение исправления композитора для локальной версии Adobe Commerce и Magento с открытым исходным кодом

    Загрузите загруженные файлы исправлений в локальный каталог Adobe Commerce или в корневой каталог Magento с открытым исходным кодом. Выполните следующую команду

    # patch -p1 < %patch_name%.composer.patch
    ИЛИ
    # patch -p2 < %patch_name%.composer.patch

  4. Обновить кеш

    Обновите кеш, чтобы применить изменения:
    Администратор в разделе Система > Управление кешем .

Мы надеемся, что этот пост поможет вам узнать, как исправить CVE-2022-24086 — критическую уязвимость нулевого дня, связанную с выполнением произвольного кода , в продуктах Magento и Commerce с открытым исходным кодом Adobe.

Нужна помощь в обновлении, обращайтесь [email protected]