CVE-2022-24086 und CVE-2022-24086 – Zero-Day-Schwachstelle in Magento Open Source und Adobe Commerce
Maciej LewkowiczLesezeit: < 1 Minute
Am Sonntag (13. Februar) hat Adobe einen Patch MVDA-43395 für eine kritische Zero-Day-Schwachstelle in allen aktuellen Versionen von Magento Open Source und Adobe Commerce veröffentlicht.
Update vom 18.02.2022:
Adobe hat am 17. Februar den zweiten Patch (CVE-2022-24087) veröffentlicht, der sich auf dieselbe Art von Schwachstelle bezieht.
CVE-2022-24086 und CVE-2022-24087 ermöglichen die willkürliche Remote-Code-Ausführung und erhielten eine CVSS-Punktzahl von 9,8, was sie zu kritischen Schwachstellen macht.
Adobe hat gemeldet, dass diese Schwachstelle bereits ausgenutzt wird:
Adobe is aware that CVE-2022-24086 has been exploited in the wild in very limited attacks against Adobe Commerce merchants.
Wir empfehlen allen Händlern, den Patch umgehend einzuspielen.
Um die Schwachstellen vollständig zu beheben, müssen beide Patches angewendet werden. Es gibt drei Varianten der Patches, daher muss je nach Magento-/Adobe-Commerce-Version die passende genommen werden. Die Varianten sind folgende:
- ab 2.4.3 bis 2.4.3-p1
- ab 2.3.4-p2 bis 2.4.2-p2
- ab 2.3.3-p1 bis 2.3.4
Glücklicherweise sind die Patches klein und können mit wenig Aufwand angebracht werden. Wie immer sollten Sie alle Änderungen (einschließlich dieser) zuerst auf einem Testserver testen.
Das nächste Magento-Release ist für den 8. März geplant – bis dahin mussen die Patches manuell eingespielt werden.
Magento-Patches wie dieser können auch mit Composer angewendet werden, was für jeden Bereitstellungsautomatisierungsprozess von entscheidender Bedeutung ist.
