S'ha identificat una vulnerabilitat crítica (CVE-10-2022) a la plataforma de comerç electrònic oberta Magento, que ocupa al voltant del 24086% del mercat de sistemes per a la creació de botigues en línia, que permet executar codi al servidor enviant un missatge específic. sol·licitud sense passar l'autenticació. La vulnerabilitat té una valoració de 9.8 sobre 10.
El problema és causat per una validació incorrecta dels paràmetres rebuts de l'usuari al controlador de pagament. Encara no s'han revelat els detalls de l'explotació de la vulnerabilitat, la solució es redueix a esborrar caràcters dels paràmetres de sol·licitud mitjançant l'expressió regular "/{{.*?}}/".
La vulnerabilitat apareix a les versions 2.3.3-p1 a 2.3.7-p2 i 2.4.0 a 2.4.3-p1 inclusivament. La correcció està disponible en forma de pedaç (encara no s'han generat noves versions amb la correcció). S'aconsella als usuaris de Magento que instal·lin urgentment el pegat, ja que ja s'han registrat casos individuals d'ús de la vulnerabilitat en qüestió per dur a terme atacs a botigues en línia.
Font: opennet.ru