En kritisk sårbarhed (CVE-10-2022) er identificeret i den åbne e-handelsplatform Magento, som fylder omkring 24086 % af markedet for systemer til oprettelse af onlinebutikker, som gør det muligt at eksekvere kode på serveren ved at sende en specifik anmodning uden at sende godkendelse. Sårbarheden er vurderet til 9.8 ud af 10.
Problemet er forårsaget af forkert validering af parametrene modtaget fra brugeren i checkout-handleren. Detaljer om udnyttelsen af sårbarheden er endnu ikke blevet afsløret, rettelsen kommer ned til at rydde tegn i anmodningsparametrene ved hjælp af det regulære udtryk "/{{.*?}}/".
Sårbarheden vises i udgivelser 2.3.3-p1 til og med 2.3.7-p2 og 2.4.0 til og med 2.4.3-p1 inklusive. Rettelsen er tilgængelig i patch-form (nye udgivelser med rettelsen er endnu ikke blevet genereret). Magento-brugere rådes til hurtigst muligt at installere patchen, da individuelle tilfælde af brug af den pågældende sårbarhed til at udføre angreb på onlinebutikker allerede er registreret på nettet.
Kilde: opennet.ru