Sicherheitsupdate für Adobe Commerce und Magento Open Source - APSB22-12
Am Montag, 14.2.2022, dem Valentinstag, hat uns Adobe ein “Geschenk” in Form eines Security Patches für ein - als kritisch eingestuftes - Security Problem gemacht.
Das Sicherheitsproblem ermöglicht das ausführen von Schadcode (Remote Code Execution) und wurde als schwerwiegend (CVSS 9.8) eingestuft.
Betroffen sind Adobe Commerce und Magento Open Source in den Versionen 2.4.3-p1 und älter sowie 2.3.7-p2 und älter.
Entsprechend dem Security Bulletin kann die Schwachstelle ohne Anmeldeinformationen (zB Admin Benutzername/Passwort) ausgenutzt werden.
Die Schwachstelle kann glücklicherweise relativ einfach mit zur Verfügung gestellten Patch-File eingespielt werden. Allerdings muss das manuell durchgeführt werden, da es derzeit noch kein Release gibt, das diesen Fix enthält.
Eine sehr gute und genaue Zusammenfassung hat dazu auch Sansec in diesem Blogbeitrag veröffentlicht.
Gemäß dem Release Plan erscheinen am 8. März 2022 Magento Open Source und Adobe Commerce 2.4.4, 2.4.3-p2 und 2.3.7-p3 und wir hoffen, das dieser Patch auch darin enthalten sein wird.
Wir haben alle von uns betreuten Shops und geprüft und dort, wo es erforderlich war, den Security Fix installiert.