Sa bukas nga plataporma alang sa pag-organisar sa e-commerce Magento, nga nag-okupar sa mga 10% sa merkado alang sa mga sistema alang sa paghimo sa mga online nga tindahan, usa ka kritikal nga kahuyangan ang giila (CVE-2022-24086), nga nagtugot sa code nga ipatuman sa server pinaagi sa pagpadala sa usa ka piho nga hangyo nga walaβy panghimatuud. Ang pagkahuyang gihatagan usa ka lebel sa kagrabe nga 9.8 gikan sa 10.
Ang problema tungod sa dili husto nga pag-verify sa mga parameter nga nadawat gikan sa user sa handler sa pagproseso sa order. Ang mga detalye sa pagpahimulos sa pagkahuyang wala pa gibutyag; ang pag-ayo nagsugod sa paghawan sa mga karakter sa mga parameter sa pangutana gamit ang regular nga ekspresyong β/{{.*?}}/β.
Ang pagkahuyang makita sa mga pagpagawas sa 2.3.3-p1 hangtod sa 2.3.7-p2 ug 2.4.0 hangtod sa 2.4.3-p1, lakip. Ang pag-ayo magamit sa porma sa usa ka patch (bag-ong pagpagawas nga adunay pag-ayo wala pa nahimo). Ang mga tiggamit sa Magento girekomenda nga dinalian nga i-install ang patch, tungod kay ang mga indibidwal nga kaso sa paggamit sa kahuyang nga gikuwestiyon sa paglansad sa mga pag-atake sa mga online nga tindahan natala na sa Internet.
Source: opennet.ru