Kriittinen haavoittuvuus Adobe Commerce- ja Magento-verkkokauppa-alustoissa
Haavoittuvuus17/2022CVSS 10Adobe haavoittuvuustiedote (Ulkoinen linkki)
Julkaistu
Adobe on julkaissut korjauksen kriittiseksi luokiteltuun haavoittuvuuteen, joka antaa hyökkääjälle mahdollisuuden suorittaa komentoja etänä verkkokauppapalvelimella. Haavoittuvien ohjelmistojen päivittäminen on suositeltavaa.
Syötteentarkistukseen liittyvä haavoittuvuus (CVE-2022-35698) mahdollistaa hyökkääjän ohjelmakoodin suorittamisen palvelimella ilman kirjautumista.
Haavoittuvuus koskee Adobe Commerce- ja Magento Open Source -verkkokauppaohjelmistoja. Adobe on julkaissut ohjelmistoihin haavoittuvuuden korjaavat päivitykset.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
- Käyttövaltuuksien laajentaminen
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
Adobe Commerce
- versio 2.4.4-p1 ja sitä vanhemmat versiot sekä versio 2.4.5 ja sitä vanhemmat versiot.
Magento Open Source
- versio 2.4.4-p1 ja sitä vanhemmat versiot sekä versio 2.4.5 ja sitä vanhemmat versiot.
Mistä on kysymys?
Päivitä haavoittuva ohjelmisto versioon 2.4.5-p1 tai 2.4.4-p2.