情報 ID
最終更新日 :
2022年2月25日
Adobe Commerce に関するセキュリティアップデート公開 | APSB22-12
|
|
公開日 |
最終更新日 |
優先度 |
|---|---|---|---|
|
APSB22-12 |
2022 年 2 月 13 日 |
2022 年 2 月 17 日 |
1 |
要約
Magento は Adobe Commerce および Magento Open Source エディションのアップデートを公開しました。これらの更新プログラムは、重大と評価された脆弱性を解決します。この脆弱性が悪用されると、任意のコードが実行されるおそれがあります。
最新の保護機能を使用するには、お客様自身で 2 つのパッチを適用する必要があります。最初に MDVA-43395 パッチを適用し、次に MDVA-43443 パッチを適用します。
Adobe は、CVE-2022-24086 が、Adobe Commerce の加盟店を標的とした、非常に限定的な攻撃で実際に悪用されていることを確認しています。
対象のバージョン
| 製品名 | バージョン | プラットフォーム |
|---|---|---|
| Adobe Commerce | 2.4.3-p1 以前のバージョン |
すべて |
| 2.3.7-p2 以前のバージョン |
すべて |
|
| Magento オープンソース |
2.4.3-p1 以前のバージョン |
すべて |
| 2.3.7-p2 以前のバージョン | すべて |
注:Adobe Commerce と Magento オープンソース(バージョン 2.3.0 ~ 2.3.3)が影響を受けることはありません。
解決策
アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。
| 製品名 | アップデートバージョン | プラットフォーム | 優先度評価 | インストール手順 |
|---|---|---|---|---|
Adobe Commerce 2.4.3 - 2.4.3-p1
|
すべて |
1 |
||
Adobe Commerce 2.3.4-p2 - 2.4.2-p2
Magento オープンソース 2.3.4-p2 - 2.4.2-p2 |
||||
Adobe Commerce 2.3.3-p1 - 2.3.4
Magento オープンソース 2.3.3-p1 - 2.3.4 |
脆弱性に関する詳細
| 脆弱性のカテゴリー | 脆弱性の影響 | 深刻度 | 悪用する場合に認証が必要か? | 悪用する場合に管理者権限が必要か? |
CVSS 基本スコア |
CVSS ベクター |
Magento Bug ID | CVE 番号 |
|---|---|---|---|---|---|---|---|---|
不適切な入力検証(CWE-20) |
任意のコード実行 |
重大 |
いいえ |
いいえ |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3118 |
CVE-2022-24086
|
| 不適切な入力検証(CWE-20) |
任意のコード実行 |
クリティカル |
いいえ | いいえ | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3120 |
CVE-2022-24087 |
更新履歴
2022 年 2 月 17 日:
- CVE-2022-24086 の影響を受けるバージョンを更新
- CVE-2022-24087 に関する CVE の詳細情報と謝辞を更新
2022 年 2 月 14 日:
- 脆弱性の詳細を示す表の列ヘッダーを明確化
謝辞
この問題を報告し、ユーザーの保護にご協力いただいた以下の研究者の皆様に対し、アドビより厚く御礼を申し上げます。
- Eboda & Blaklis (CVE-2022-24087)
詳しくは、https://helpx.adobe.com/jp/security.html を参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。
