San ardán oscailte chun ríomhthráchtáil a eagrú Magento, a áitíonn thart ar 10% den mhargadh le haghaidh córais chun siopaí ar líne a chruthú, tá leochaileacht ríthábhachtach aitheanta (CVE-2022-24086), a cheadaíonn cód a fhorghníomhú ar an bhfreastalaí le iarratas áirithe a sheoladh gan fíordheimhniú. Tá leibhéal déine 9.8 as 10 sannta don leochaileacht.
Is í fíorú mícheart na bparaiméadar a fuarthas ón úsáideoir sa láimhseálaí próiseála ordaithe is cúis leis an bhfadhb. Níl sonraí maidir le saothrú na leochaileachta nochta fós; dírítear ar an gceartú go dtí carachtair imréitigh i bparaiméadar na gceisteanna ag baint úsáide as an slonn rialta “/{{.*?}}/”.
Tá an leochaileacht le feiceáil i scaoileadh 2.3.3-p1 trí 2.3.7-p2 agus 2.4.0 trí 2.4.3-p1, san áireamh. Tá an tsocrú ar fáil i bhfoirm paiste (níl eisiúintí nua leis an bhfeabhsúchán ginte fós). Moltar d’úsáideoirí Magento an paiste a shuiteáil go práinneach, ós rud é go bhfuil cásanna aonair maidir leis an leochaileacht atá i gceist a úsáid chun ionsaithe ar shiopaí ar líne a sheoladh taifeadta ar an Idirlíon cheana féin.
Foinse: oscailtenet.ru