Nan platfòm la louvri pou òganize e-commerce Magento, ki okipe apeprè 10% nan mache a pou sistèm pou kreye magazen sou entènèt, yo te idantifye yon vilnerabilite kritik (CVE-2022-24086), ki pèmèt kòd yo dwe egzekite sou sèvè a pa. voye yon demann sèten san otantifikasyon. Yo bay vilnerabilite a yon nivo severite 9.8 sou 10.
Pwoblèm nan koze pa kòrèk verifikasyon paramèt yo te resevwa nan men itilizatè a nan moun k ap okipe lòd la. Detay yo sou eksplwatasyon vilnerabilite a poko divilge; ranje a se pou netwaye karaktè nan paramèt rechèch yo lè l sèvi avèk ekspresyon regilye "/{{.*?}}/".
Vilnerabilite a parèt nan degaje 2.3.3-p1 jiska 2.3.7-p2 ak 2.4.0 jiska 2.4.3-p1, enklizif. Ranje a disponib nan fòm lan nan yon patch (nouvo degaje ak ranje a poko te pwodwi). Itilizatè Magento yo rekòmande yo enstale patch la ijan, depi ka endividyèl lè l sèvi avèk vilnerabilite a nan kesyon lanse atak sou magazen sou entènèt yo te deja anrejistre sou entènèt la.
Sous: opennet.ru