Kriittinen haavoittuvuus Adobe Commerce- ja Magento-verkkokauppa-alustoissa

Haavoittuvuus4/2022CVSS 9.8

Adobe on julkaissut korjauksen kriittiseksi luokiteltuun haavoittuvuuteen, joka antaa hyökkääjälle mahdollisuuden suorittaa komentoja etänä verkkokauppapalvelimella. Adoben mukaan haavoittuvuutta käytetään aktiivisesti hyväksi. Haavoittuvien ohjelmistojen päivittäminen on suositeltavaa.

Syötteentarkistukseen liittyvä haavoittuvuus (CVE-2022-24086) mahdollistaa hyökkääjän ohjelmakoodin suorittamisen palvelimella ilman kirjautumista. Adoben mukaan myös haavoittuvuuksien hyväksikäytöstä on jo tehty havaintoja. 

Haavoittuvuus koskee Adobe Commerce- ja Magento Open Source -verkkokauppaohjelmistoja. Adobe on julkaissut ohjelmistoihin haavoittuvuuden korjaavat päivitykset. 

 

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

Adobe Commerce ja Magento Open Source

  • versio 2.4.3-p1 ja sitä vanhemmat versiot
  • versio 2.3.7-p2 ja sitä vanhemmat versiot

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä haavoittuva ohjelmisto versioon 2.4.3-p1_v1 asentamalla päivitys MDVA-43395.

 

Lisätietoja