Ma ke kahua ākea no ka hoʻonohonoho ʻana i ka e-commerce Magento, aia ma kahi o 10% o ka mākeke no nā ʻōnaehana no ka hoʻokumu ʻana i nā hale kūʻai pūnaewele, ua ʻike ʻia kahi koʻikoʻi koʻikoʻi (CVE-2022-24086), e hiki ai ke hoʻokō ʻia ke code ma ke kikowaena. ka hoʻouna ʻana i kekahi noi me ka hōʻoia ʻole. Ua hāʻawi ʻia ka vulnerability i kahi pae koʻikoʻi o 9.8 mai 10.
Hoʻokumu ʻia ka pilikia ma muli o ka hōʻoia hewa ʻana o nā ʻāpana i loaʻa mai ka mea hoʻohana i ka mea hoʻoponopono kauoha. ʻAʻole i hōʻike ʻia nā kikoʻī o ka hoʻohana ʻana i ka nāwaliwali; hiki ke hoʻoponopono i ka hoʻomaʻemaʻe ʻana i nā huaʻōlelo i nā ʻāpana nīnau me ka hoʻohana ʻana i ka huaʻōlelo maʻamau "/{{.*?}}/".
Hōʻike ʻia ka nāwaliwali ma nā hoʻokuʻu 2.3.3-p1 ma o 2.3.7-p2 a me 2.4.0 a hiki i 2.4.3-p1, komo pū. Loaʻa ka hoʻoponopono ma ke ʻano o kahi patch (ʻaʻole i hana ʻia nā mea hou me ka hoʻoponopono). Manaʻo ʻia nā mea hoʻohana Magento e hoʻokomo koke i ka patch, no ka mea, ua hoʻopaʻa ʻia nā hihia pilikino o ka hoʻohana ʻana i ka nāwaliwali i nīnau ʻia e hoʻomaka i nā hoʻouka kaua ma nā hale kūʻai pūnaewele.
Source: opennet.ru