Kritická zranitelnost (CVE-10-2022) byla identifikována v platformě otevřeného elektronického obchodování Magento, která zabírá asi 24086 % trhu systémů pro vytváření online obchodů, což umožňuje spouštění kódu na serveru odesláním specifického požadavek bez autentizace. Zranitelnost je hodnocena 9.8 z 10.
Problém je způsoben nesprávným ověřením parametrů přijatých od uživatele v obslužné rutině pokladny. Podrobnosti o zneužití zranitelnosti zatím nebyly zveřejněny, oprava spočívá ve vymazání znaků v parametrech požadavku pomocí regulárního výrazu "/{{.*?}}}/".
Tato chyba zabezpečení se objevuje ve verzích 2.3.3-p1 až 2.3.7-p2 a 2.4.0 až 2.4.3-p1 včetně. Oprava je k dispozici ve formě opravy (zatím nebyly vydány žádné nové opravy). Uživatelům Magenta se doporučuje, aby urychleně nainstalovali opravu, protože na webu již byly zaznamenány jednotlivé případy použití dotyčné zranitelnosti k útokům na internetové obchody.
Zdroj: opennet.ru