Magento բաց էլեկտրոնային առևտրի հարթակում հայտնաբերվել է կրիտիկական խոցելիություն (CVE-10-2022), որը զբաղեցնում է առցանց խանութների ստեղծման համակարգերի շուկայի մոտ 24086%-ը, ինչը թույլ է տալիս ծածկագիրը կատարել սերվերի վրա՝ ուղարկելով հատուկ հարցում՝ առանց նույնականացման անցնելու: Խոցելիությունը գնահատվել է 9.8՝ 10-ից:
Խնդիրն առաջացել է օգտատերից ստացված պարամետրերի սխալ վավերացումից՝ վճարման կարգավորիչում: Խոցելիության շահագործման մանրամասները դեռևս չեն բացահայտվել, ուղղումը վերաբերում է հարցման պարամետրերի նիշերը մաքրելուն՝ օգտագործելով «/{{.*?}}/» կանոնավոր արտահայտությունը։
Խոցելիությունը հայտնվում է 2.3.3-p1-ից մինչև 2.3.7-p2 և 2.4.0-ից 2.4.3-p1 ներառյալ թողարկումներում: Ուղղումը հասանելի է կարկատանի տեսքով (նոր շտկման թողարկումներ դեռ չեն արվել): Magento-ի օգտատերերին խորհուրդ է տրվում շտապ տեղադրել պատչը, քանի որ համացանցում արդեն գրանցվել են տվյալ խոցելիության օգտագործման առանձին դեպքեր առցանց խանութների վրա հարձակումներ իրականացնելու համար։
Source: opennet.ru