Az e-kereskedelem szervezésére szolgáló nyílt platformon, a Magento-ban, amely az online áruházak létrehozására szolgáló rendszerek piacának mintegy 10%-át foglalja el, egy kritikus biztonsági rést azonosítottak (CVE-2022-24086), amely lehetővé teszi a kód futtatását a szerveren egy bizonyos kérés küldése hitelesítés nélkül. A sérülékenységhez 9.8-ből 10-as súlyossági szintet rendeltek.
A problémát a felhasználótól kapott paraméterek helytelen ellenőrzése okozza a rendelésfeldolgozás kezelőjében. A sérülékenység kihasználásának részleteit még nem hozták nyilvánosságra, a javítás a lekérdezési paraméterek karaktereinek törlését jelenti a „/{{.*?}}/” reguláris kifejezés használatával.
A sérülékenység a 2.3.3-p1–2.3.7-p2 és a 2.4.0–2.4.3-p1 kiadásokban jelenik meg. A javítás patch formájában érhető el (új kiadások a javítással még nem jöttek létre). A Magento felhasználóknak azt javasoljuk, hogy sürgősen telepítsék a javítást, mivel az interneten már rögzítettek egyedi eseteket, amikor a szóban forgó sebezhetőséget online áruházak elleni támadásokra használják.
Forrás: opennet.ru