Kerentanan kritis (CVE-10-2022) telah diidentifikasi di platform e-commerce terbuka Magento, yang menempati sekitar 24086% pasar untuk sistem pembuatan toko online, yang memungkinkan kode dieksekusi di server dengan mengirimkan kode tertentu permintaan tanpa melewati otentikasi. Kerentanannya diberi peringkat 9.8 dari 10.
Masalah ini disebabkan oleh kesalahan validasi parameter yang diterima dari pengguna di pengendali checkout. Detail eksploitasi kerentanan belum diungkapkan, perbaikannya dilakukan dengan menghapus karakter dalam parameter permintaan menggunakan ekspresi reguler "/{{.*?}}/".
Kerentanan muncul dalam rilis 2.3.3-p1 hingga 2.3.7-p2 dan 2.4.0 hingga 2.4.3-p1 inklusif. Perbaikan tersedia dalam bentuk tambalan (rilis baru dengan perbaikan belum dibuat). Pengguna Magento disarankan untuk segera menginstal patch tersebut, karena beberapa kasus penggunaan kerentanan tersebut untuk melakukan serangan terhadap toko online telah tercatat di Web.
Sumber: opennet.ru