Kritična ranjivost (CVE-10-2022) identifikovana je na otvorenoj platformi za e-trgovinu Magento, koja zauzima oko 24086% tržišta sistema za kreiranje onlajn prodavnica, koja omogućava izvršavanje koda na serveru slanjem određenog zahtjev bez prolaska autentifikacije. Ranjivost je ocijenjena ocjenom 9.8 od 10.
Problem je uzrokovan neispravnom provjerom valjanosti parametara primljenih od korisnika u obrađivaču odjave. Detalji o iskorištavanju ranjivosti još nisu objavljeni, popravka se svodi na brisanje znakova u parametrima zahtjeva pomoću regularnog izraza "/{{.*?}}/".
Ranjivost se pojavljuje u izdanjima od 2.3.3-p1 do 2.3.7-p2 i uključujući 2.4.0 do 2.4.3-p1. Popravka je dostupna u obliku zakrpe (nova izdanja s popravkom još nisu generirana). Korisnicima Magenta se savjetuje da hitno instaliraju zakrpu, jer su na webu već zabilježeni pojedinačni slučajevi korištenja predmetne ranjivosti za vršenje napada na internet trgovine.
izvor: opennet.ru