U otvorenoj platformi za organiziranje e-trgovine Magento, koja zauzima oko 10% tržišta sustava za izradu online trgovina, identificirana je kritična ranjivost (CVE-2022-24086) koja omogućuje izvršavanje koda na poslužitelju od strane slanje određenog zahtjeva bez provjere autentičnosti. Ranjivosti je dodijeljena razina ozbiljnosti 9.8 od 10.
Problem je uzrokovan netočnom provjerom parametara primljenih od korisnika u rukovatelju obrade naloga. Pojedinosti o iskorištavanju ranjivosti još nisu otkrivene; popravak se svodi na brisanje znakova u parametrima upita pomoću regularnog izraza “/{{.*?}}/”.
Ranjivost se pojavljuje u izdanjima od 2.3.3-p1 do 2.3.7-p2 i 2.4.0 do 2.4.3-p1, uključivo. Popravak je dostupan u obliku zakrpe (nova izdanja s popravkom još nisu generirana). Korisnicima Magenta preporučuje se hitna instalacija zakrpe, budući da su na internetu već zabilježeni pojedinačni slučajevi korištenja predmetne ranjivosti za napade na online trgovine.
Izvor: opennet.ru