Açıq elektron ticarət platforması Magento-da kritik zəiflik (CVE-10-2022) müəyyən edilib, hansı ki, onlayn mağazalar yaratmaq sistemləri bazarının təxminən 24086%-ni tutur və bu, xüsusi bir fayl göndərməklə kodun serverdə icrasına imkan verir. autentifikasiyadan keçmədən sorğu göndərin. Zəiflik 9.8 baldan 10 balla qiymətləndirilib.
Problem, yoxlama işləyicisində istifadəçidən alınan parametrlərin düzgün yoxlanılmasından qaynaqlanır. Boşluğun istismarının təfərrüatları hələ açıqlanmayıb, düzəliş "/{{.*?}}/" adi ifadəsindən istifadə etməklə sorğu parametrlərindəki simvolların təmizlənməsinə düşür.
Zəiflik 2.3.3-p1-dən 2.3.7-p2-yə qədər və 2.4.0-dan 2.4.3-p1-ə qədər relizlərdə görünür. Düzəliş yamaq şəklində mövcuddur (düzəlişlə yeni buraxılışlar hələ yaradılmayıb). Magento istifadəçilərinə yamağı təcili quraşdırmaq tövsiyə olunur, çünki internetdə onlayn mağazalara hücumların həyata keçirilməsi üçün sözügedən boşluqdan istifadə ilə bağlı fərdi hallar artıq qeydə alınıb.
Mənbə: opennet.ru