Usando Magento 2.3 ou 2.4? Aplique o patch de segurança agora! APSB22-12 / CVE-2022-24086
Desenvolvimento, Magento 2
Atualizado em 17 de fevereiro de 2022
No domingo, 13 de Fevereiro de 2022 a Adobe lançou um patch de segurança urgente.
Trata-se se uma vulnerabilidade crítica de segurança classificada como 9.8 no CVSS (o máximo é 10).
A vulnerabilidade permite a execução de código remoto mesmo sem estar autenticado no admin ou como cliente.
Publicamente identificada como CVE-2022-24086, ao ser explorada pode comprometer a loja afetada expondo dados de clientes ou abrindo portas para outros tipos de ataques mesmo após a aplicação do patch.
Quem é afetado?
Lojas Magento Commerce e Magento Open Source 2.3.3-p1 até 2.3.7-p2 e também 2.4.0 até 2.4.3-p1.
Solução e patches
Dada a forma e natureza da falha, não é possível ser barrada por um WAF (Firewall Web), ou outra ferramenta externa. Você deve aplicar o patch de segurança imediatamente.
Os patches estão disponíveis nesta página da Adobe Commerce, identificados como APSB22-12.
Lá você encontrará dois links:
- MDVA-43395_EE_2.4.3-p1_v1.patch.zip – se os arquivos do core seu Magento estiverem na pasta app. Ocorre se você instalou o Magento via git ou baixando um arquivo .zip.
- MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip – se você instalou o Magento via composer, e os arquivos do Magento estão na pasta /vendor.
⚠️ Update 18/Fev – Novos patches adicionados
A Magento acrescentou um segundo patch que também deve ser aplicado. Por favor consulte a página oficial e baixe os patches necessários para sua versão do Magento. Depois aplique os dois conforme o passo a passo abaixo (para cada arquivo .patch).
Como aplicar o patch (passo a passo)
- Baixe o arquivo correspondente acima e descompacte o .zip
- Copie o arquivo .patch para raiz do seu Magento
- No terminal, digite
patch -p1 < MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch
oupatch -p1 < MDVA-43395_EE_2.4.3-p1_v1.patch
se optou pelo primeiro arquivo.
Pronto. Um resultado como o abaixo deve ser exibido:
$ patch -p1 < MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch patching file vendor/magento/module-email/Model/Template/Filter.php patching file vendor/magento/framework/Filter/DirectiveProcessor/VarDirective.php
Aviso Importante
O patch acima modificará arquivos do core do Magento. Estes arquivos eventualmente são ignorados por seu controle de versão.
No caso de instalações com o composer (grande maioria), os arquivos modificados estarão na pasta /vendor
e as mudanças não serão identificadas. Nestes casos, será necessário executar o patch de segurança diretamente nos ambientes onde realizar o deploy de sua loja.
Validando a aplicação do patch
O patch acima irá inserir 4 linhas de código parecidas, em dois arquivos do Magento:
Instalações com composer:
- vendor/magento/module-email/Model/Template/Filter.php
- vendor/magento/framework/Filter/DirectiveProcessor/VarDirective.php
Instalações via .zip ou git:
- app/code/Magento/Email/Model/Template/Filter.php
- lib/internal/Magento/Framework/Filter/DirectiveProcessor/VarDirective.php
Abra o primeiro arquivo e verifique a existência do trecho abaixo no primeiro arquivo, dentro do método transDirective
. Ele está localizado por volta da linha 618.
$pattern = '/{{.*?}}/'; do { $text = preg_replace($pattern, '', (string)$text); } while (preg_match($pattern, $text));
A existência do mesmo indica que o patch foi aplicado com sucesso.
Magento 1.x e OpenMage foram afetados?
Ainda não tivemos acesso à nenhum exploit para realizar testes. Mas em conversa com membros do time OpenMage, aparentemente a falha de segurança já teria sido identificada e corrigida por eles em 2020.
Embora o trecho de código afetado também esteja presente (e sem correção) no OpenMage, não pudemos confirmar se de fato é possível explorá-lo. Estamos questionando o time do OpenMage a este respeito e atualizaremos este artigo quando tivermos uma confirmação.
Se você teve acesso a algum exploit que nos ajude a testar esta vulnerabilidade, por favor entre em contato conosco.
Quer mais?
Fique por dentro das novidades do mundo Magento e assine nosso boletim (quase semanal).
- PagSeguro (PagBank) para Magento 1 recebe a Nova Geração - 9 de abril de 2024
- Recorrência no WooCommerce Sem Plugins Pagos - 28 de janeiro de 2024
- Chargeback. O que é, e como se livrar deles. - 19 de dezembro de 2023
Deixe seu comentário
[fbcomments url="https://www.magenteiro.com/blog/magento-2/aplicar-patch-apsb22-12/"]