'n Kritieke kwesbaarheid (CVE-10-2022) is geïdentifiseer in die oop e-handelsplatform Magento, wat ongeveer 24086% van die mark vir stelsels vir die skep van aanlynwinkels beslaan, wat toelaat dat kode op die bediener uitgevoer word deur 'n spesifieke versoek sonder om verifikasie deur te gee. Die kwesbaarheid is 9.8 uit 10 gegradeer.
Die probleem word veroorsaak deur verkeerde validering van die parameters wat van die gebruiker in die betaalpunthanteerder ontvang is. Besonderhede van die uitbuiting van die kwesbaarheid is nog nie bekend gemaak nie, die oplossing kom daarop neer om karakters in die versoekparameters uit te vee deur die gewone uitdrukking "/{{.*?}}/" te gebruik.
Die kwesbaarheid verskyn in vrystellings 2.3.3-p1 tot 2.3.7-p2 en 2.4.0 tot en met 2.4.3-p1 ingesluit. Die regstelling is beskikbaar in pleistervorm (nuwe vrystellings met die regstelling is nog nie gegenereer nie). Magento-gebruikers word aangeraai om die pleister dringend te installeer, aangesien individuele gevalle van die gebruik van die betrokke kwesbaarheid om aanvalle op aanlynwinkels uit te voer, reeds op die web aangeteken is.
Bron: opennet.ru