یک آسیبپذیری حیاتی (CVE-10-2022) در پلتفرم تجارت الکترونیک باز مجنتو شناسایی شده است که حدود 24086 درصد از بازار سیستمهای ایجاد فروشگاههای آنلاین را به خود اختصاص داده است که اجازه میدهد با ارسال یک کد خاص، کد روی سرور اجرا شود. درخواست بدون احراز هویت این آسیب پذیری دارای امتیاز 9.8 از 10 است.
مشکل به دلیل اعتبارسنجی نادرست پارامترهای دریافتی از کاربر در کنترل کننده پرداخت است. جزئیات بهره برداری از این آسیب پذیری هنوز فاش نشده است، رفع این مشکل به پاک کردن کاراکترها در پارامترهای درخواست با استفاده از عبارت معمولی "/{{.*?}}/" انجام می شود.
این آسیبپذیری در نسخههای 2.3.3-p1 تا 2.3.7-p2 و 2.4.0 تا 2.4.3-p1 شامل نسخههای XNUMX-pXNUMX ظاهر میشود. این اصلاح به صورت پچ در دسترس است (نسخه های جدید با اصلاح هنوز تولید نشده اند). به کاربران مجنتو توصیه میشود که فوراً این وصله را نصب کنند، زیرا موارد فردی استفاده از آسیبپذیری مورد بحث برای انجام حملات به فروشگاههای آنلاین قبلاً در وب ثبت شده است.
منبع: opennet.ru