Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Adobe on julkaissut korjauksen kriittiseksi luokiteltuun haavoittuvuuteen, joka antaa hyökkääjälle mahdollisuuden suorittaa komentoja etänä verkkokauppapalvelimella. Haavoittuvien ohjelmistojen päivittäminen on suositeltavaa.

Syötteentarkistukseen liittyvä haavoittuvuus (CVE-2022-35698) mahdollistaa hyökkääjän ohjelmakoodin suorittamisen palvelimella ilman kirjautumista. 

Haavoittuvuus koskee Adobe Commerce- ja Magento Open Source -verkkokauppaohjelmistoja. Adobe on julkaissut ohjelmistoihin haavoittuvuuden korjaavat päivitykset. 

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Ei julkaistu

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvuuden kohde

Adobe Commerce

  • versio 2.4.4-p1 ja sitä vanhemmat versiot sekä versio 2.4.5  ja sitä vanhemmat versiot.


Magento Open Source

  • versio 2.4.4-p1 ja sitä vanhemmat versiot sekä versio 2.4.5  ja sitä vanhemmat versiot.

Mistä on kysymys?

Päivitä haavoittuva ohjelmisto versioon 2.4.5-p1 tai 2.4.4-p2.

Mitä voin tehdä?