Se ha identificado una vulnerabilidad crítica (CVE-10-2022) en la plataforma de comercio electrónico abierto Magento, que ocupa alrededor del 24086% del mercado de sistemas para la creación de tiendas online, que permite ejecutar código en el servidor enviando un mensaje específico. solicitud sin pasar la autenticación. La vulnerabilidad tiene una calificación de 9.8 sobre 10.
El problema se debe a una validación incorrecta de los parámetros recibidos del usuario en el controlador de pago. Los detalles de la explotación de la vulnerabilidad aún no se han revelado, la solución se reduce a borrar los caracteres en los parámetros de solicitud usando la expresión regular "/{{.*?}}/".
La vulnerabilidad aparece en las versiones 2.3.3-p1 a 2.3.7-p2 y 2.4.0 a 2.4.3-p1 inclusive. La solución está disponible en forma de parche (aún no se han realizado nuevas versiones de solución). Se recomienda a los usuarios de Magento que instalen el parche urgentemente, ya que en la Web ya se han registrado casos concretos de utilización de la vulnerabilidad en cuestión para ataques a tiendas online.
Fuente: opennet.ru