Usando Magento 2.3 ou 2.4? Aplique o patch de segurança agora! APSB22-12 / CVE-2022-24086

No domingo, 13 de Fevereiro de 2022 a Adobe lançou um patch de segurança urgente.

Trata-se se uma vulnerabilidade crítica de segurança classificada como 9.8 no CVSS (o máximo é 10).

A vulnerabilidade permite a execução de código remoto mesmo sem estar autenticado no admin ou como cliente.

Publicamente identificada como CVE-2022-24086, ao ser explorada pode comprometer a loja afetada expondo dados de clientes ou abrindo portas para outros tipos de ataques mesmo após a aplicação do patch.

Quem é afetado?

Lojas Magento Commerce e Magento Open Source 2.3.3-p1 até 2.3.7-p2 e também 2.4.0 até 2.4.3-p1.

Solução e patches

Dada a forma e natureza da falha, não é possível ser barrada por um WAF (Firewall Web), ou outra ferramenta externa. Você deve aplicar o patch de segurança imediatamente.

Os patches estão disponíveis nesta página da Adobe Commerce, identificados como APSB22-12.

Lá você encontrará dois links:

• MDVA-43395_EE_2.4.3-p1_v1.patch.zip – se os arquivos do core seu Magento estiverem na pasta app. Ocorre se você instalou o Magento via git ou baixando um arquivo .zip.
• MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip – se você instalou o Magento via composer, e os arquivos do Magento estão na pasta /vendor.

⚠️ Update 18/Fev – Novos patches adicionados

A Magento acrescentou um segundo patch que também deve ser aplicado. Por favor consulte a página oficial e baixe os patches necessários para sua versão do Magento. Depois aplique os dois conforme o passo a passo abaixo (para cada arquivo .patch).

Como aplicar o patch (passo a passo)

• Baixe o arquivo correspondente acima e descompacte o .zip
• Copie o arquivo .patch para raiz do seu Magento
• No terminal, digite patch -p1 < MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch ou patch -p1 < MDVA-43395_EE_2.4.3-p1_v1.patch se optou pelo primeiro arquivo.

Pronto. Um resultado como o abaixo deve ser exibido:

$ patch -p1 < MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch
patching file vendor/magento/module-email/Model/Template/Filter.php
patching file vendor/magento/framework/Filter/DirectiveProcessor/VarDirective.php

Aviso Importante

O patch acima modificará arquivos do core do Magento. Estes arquivos eventualmente são ignorados por seu controle de versão.

No caso de instalações com o composer (grande maioria), os arquivos modificados estarão na pasta /vendor e as mudanças não serão identificadas. Nestes casos, será necessário executar o patch de segurança diretamente nos ambientes onde realizar o deploy de sua loja.

Validando a aplicação do patch

O patch acima irá inserir 4 linhas de código parecidas, em dois arquivos do Magento:

Instalações com composer:

• vendor/magento/module-email/Model/Template/Filter.php
• vendor/magento/framework/Filter/DirectiveProcessor/VarDirective.php

Instalações via .zip ou git:

• app/code/Magento/Email/Model/Template/Filter.php
• lib/internal/Magento/Framework/Filter/DirectiveProcessor/VarDirective.php

Abra o primeiro arquivo e verifique a existência do trecho abaixo no primeiro arquivo, dentro do método transDirective. Ele está localizado por volta da linha 618.

$pattern = '/{{.*?}}/';
do {
    $text = preg_replace($pattern, '', (string)$text);
} while (preg_match($pattern, $text));

A existência do mesmo indica que o patch foi aplicado com sucesso.

Magento 1.x e OpenMage foram afetados?

Ainda não tivemos acesso à nenhum exploit para realizar testes. Mas em conversa com membros do time OpenMage, aparentemente a falha de segurança já teria sido identificada e corrigida por eles em 2020.

Embora o trecho de código afetado também esteja presente (e sem correção) no OpenMage, não pudemos confirmar se de fato é possível explorá-lo. Estamos questionando o time do OpenMage a este respeito e atualizaremos este artigo quando tivermos uma confirmação.

Se você teve acesso a algum exploit que nos ajude a testar esta vulnerabilidade, por favor entre em contato conosco.

Quer mais?

Fique por dentro das novidades do mundo Magento e assine nosso boletim (quase semanal).

• Sobre
• Últimos Posts

Ricardo Martins

É desenvolvedor web há 16 anos e um dos primeiros certificados pela Magento no Brasil. Instrutor de mais de 11 cursos Magento (os principais no magenteiro.com/cursos) com mais de 14 mil alunos de 105 países, é também criador do módulo PagSeguro Transparente, usado em mais de 12 mil lojas.

Últimos posts por Ricardo Martins (exibir todos)

• PagSeguro (PagBank) para Magento 1 recebe a Nova Geração - 9 de abril de 2024
• Recorrência no WooCommerce Sem Plugins Pagos - 28 de janeiro de 2024
• Chargeback. O que é, e como se livrar deles. - 19 de dezembro de 2023