0-Day Magento & Adobe Commerce
Adobe lanzó el domingo pasado diversos parches para contener una vulnerabilidad de seguridad crítica que afecta a sus productos Adobe Commerce y Magento Open Source. El error en cuestión permite la ejecución remota de código (RCE) y es considerado un error de día cero en las plataformas Magento 2 y Adobe Commerce. Está siendo explotado activamente, lo que ha provocado que Adobe genere un parche de urgencia durante el fin de semana del 13 de febrero.
La vulnerabilidad de seguridad (CVE-2022-24086) es un error crítico, que permite la ejecución de código remoto (RCE) derivado de una validación de entrada inadecuada. Tiene una puntuación de 9,8 sobre 10 según la métrica de vulnerabilidades (CVSS), la vulnerabilidad es preautenticada pero hay un factor atenuante según indica Adobe: Un atacante necesitaría tener privilegios administrativos para tener éxito.
Versiones Afectadas
El fallo afecta a Adobe Commerce y Magento Open Source 2.4.3-p1 y versiones anteriores, así como a 2.3.7-p2 y versiones anteriores. Adobe Commerce 2.3.3 y versiones inferiores no son vulnerables.
| Productos | Versión | Plataforma |
| Adobe Commerce | 2.4.3-p1 y versiones anteriores | Todas |
| Adobe Commerce | 2.3.7-p2 y versiones anteriores | Todas |
| Magento Open Source | 2.4.3-p1 y versiones anteriores | Todas |
| Magento Open Source | 2.3.7-p2 y versiones anteriores | Todas |
Solución
La vulnerabilidad es crítica y puede afectar gravemente no solo a la seguridad de la empresa, sino también a la lógica de negocio. Se recomienda aplicar los parches de seguridad a la mayor brevedad posible.
| Productos | Versión de Actualización | Plataforma | Prioridad | Instrucciones |
| Adobe Commerce | MDVA-43395_EE_2.4.3-p1_v1 | Todas | 1 | Notas |
| Magento Open Source | MDVA-43395_EE_2.4.3-p1_v1 | Todas | 1 | Notas |
Referencias:
- Adobe notificación: https://helpx.adobe.com/security/products/magento/apsb22-12.html
- CVE-2022-24086: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24086
- CWE-20: https://cwe.mitre.org/data/definitions/20.html
La entrada 0-Day Magento & Adobe Commerce se publicó primero en Una al Día.
Powered by WPeMatico
