Chère cliente, Cher client,

Une faille concernant le CMS Magento 2 a été publié dimanche par les équipes d’Adobe.

Voici la liste des versions Magento 2 concernés:

  • 2.3.7-p2 et inférieures
  • 2.4.3-p1 et inférieures

La faille CVE-2022-24086 (enregistrée chez Adobe sous le nom de APSB22-12) évaluée à un score de sévérité 9.8/10 permet une execution de code sans besoin d’authentification. C’est une faille d’une gravité particulièrement sévère qui mérite une attention immédiate.

Correctifs

Afin de pouvoir se protéger contre cette faille, vous devez appliquer le patch APSB22-12 pour protéger votre Magento 2.

Nous vous conseillons de demander une sauvegarde instantanée au support pour pouvoir rapidement effectuer une restauration en cas de problème.

Tout d’abord, connectez-vous sur votre serveur via SSH et rendez-vous dans le dossier de votre Magento 2 ( généralement htdocs )

Exécutez les commandes suivantes:

				
					wget https://github.com/magento/knowledge-base/raw/main/src/troubleshooting/known-issues-patches-attached/assets/MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip
unzip MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip
patch -p1 < MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch
rm -f MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch

				
			

Une fois ces commandes exécutées, veuillez vider le cache de votre WebShop Magento 2.

Il est également possible d’utiliser Composer pour patcher votre Magento : https://github.com/df2k2/m2-tech/tree/main/composer#automated-patching

Notre support est à votre disposition pour toute question ou assistance relative à cette faille.

Sources