Haavoittuvuus4/2022CVSS 9.8
Adobe on julkaissut korjauksen kriittiseksi luokiteltuun haavoittuvuuteen, joka antaa hyökkääjälle mahdollisuuden suorittaa komentoja etänä verkkokauppapalvelimella. Adoben mukaan haavoittuvuutta käytetään aktiivisesti hyväksi. Haavoittuvien ohjelmistojen päivittäminen on suositeltavaa.
Syötteentarkistukseen liittyvä haavoittuvuus (CVE-2022-24086) mahdollistaa hyökkääjän ohjelmakoodin suorittamisen palvelimella ilman kirjautumista. Adoben mukaan myös haavoittuvuuksien hyväksikäytöstä on jo tehty havaintoja.
Haavoittuvuus koskee Adobe Commerce- ja Magento Open Source -verkkokauppaohjelmistoja. Adobe on julkaissut ohjelmistoihin haavoittuvuuden korjaavat päivitykset.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Rikollisessa käytössä
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
Adobe Commerce ja Magento Open Source
- versio 2.4.3-p1 ja sitä vanhemmat versiot
- versio 2.3.7-p2 ja sitä vanhemmat versiot
Mistä on kysymys?
Päivitä haavoittuva ohjelmisto versioon 2.4.3-p1_v1 asentamalla päivitys MDVA-43395.
Mitä voin tehdä?
- Adoben haavoittuvuustiedote (Ulkoinen linkki) (ulkoinen linkki)
- Adoben päivityspaketit (Ulkoinen linkki) (ulkoinen linkki)