تم التعرف على ثغرة خطيرة (CVE-10-2022) في منصة التجارة الإلكترونية المفتوحة Magento ، والتي تحتل حوالي 24086٪ من السوق لأنظمة إنشاء المتاجر عبر الإنترنت ، مما يسمح بتنفيذ التعليمات البرمجية على الخادم عن طريق إرسال رسالة محددة طلب دون اجتياز المصادقة. تم تصنيف الثغرة الأمنية 9.8 من 10.
سبب المشكلة هو التحقق غير الصحيح من المعلمات المتلقاة من المستخدم في معالج السداد. لم يتم الكشف عن تفاصيل استغلال الثغرة الأمنية حتى الآن ، حيث يأتي الإصلاح إلى مسح الأحرف في معلمات الطلب باستخدام التعبير العادي "/{{.*؟}}/".
تظهر الثغرة الأمنية في الإصدارات 2.3.3-p1 حتى 2.3.7-p2 و 2.4.0 حتى 2.4.3-p1 ضمناً. الإصلاح متاح في شكل تصحيح (لم يتم إنشاء إصدارات جديدة مع الإصلاح بعد). يُنصح مستخدمو Magento بتثبيت التصحيح على وجه السرعة ، حيث تم بالفعل تسجيل حالات فردية لاستخدام الثغرة الأمنية المعنية لتنفيذ هجمات على المتاجر عبر الإنترنت على الويب.
المصدر: opennet.ru