Ligikaudu 10% veebipoodide loomise süsteemide turust hõivavas avatud e-kaubanduse platvormis Magento on tuvastatud kriitiline haavatavus (CVE-2022-24086), mis võimaldab serveris koodi käivitada, saates konkreetse taotleda ilma autentimist läbimata. Haavatavuse hindeks on 9.8 10-st.
Probleemi põhjustab kassahalduris kasutajalt saadud parameetrite vale valideerimine. Haavatavuse kasutamise üksikasju pole veel avalikustatud, parandus taandub märkide kustutamisele päringu parameetrites regulaaravaldise "/{{.*?}}/" abil.
Haavatavus ilmneb versioonides 2.3.3-p1 kuni 2.3.7-p2 ja 2.4.0 kuni 2.4.3-p1 (kaasa arvatud). Parandus on saadaval plaastri kujul (parandusega uusi väljalaseid pole veel loodud). Magento kasutajatel soovitatakse plaaster kiiresti installida, kuna veebis on juba registreeritud üksikuid juhtumeid, kus kõnealuse haavatavust on kasutatud veebipoodide ründamiseks.
Allikas: opennet.ru