オンライン ストア作成システムの市場の約 10% を占める、電子商取引を組織するためのオープン プラットフォーム Magento に、重大な脆弱性 (CVE-2022-24086) が特定されました。これにより、サーバー上でコードが実行される可能性があります。認証なしで特定のリクエストを送信すること。この脆弱性の重大度レベルは 9.8 段階中 10 に割り当てられています。
この問題は、注文処理ハンドラーでユーザーから受け取ったパラメーターの検証が正しくないことが原因で発生します。脆弱性悪用の詳細はまだ明らかにされていないが、修正内容は、正規表現「/{{.*?}}/」を使用してクエリパラメータ内の文字を消去することになる。
この脆弱性は、リリース 2.3.3-p1 ~ 2.3.7-p2 および 2.4.0 ~ 2.4.3-p1 に発生します。修正はパッチの形式で入手できます (修正を含む新しいリリースはまだ生成されていません)。問題の脆弱性を利用してオンライン ストアへの攻撃を開始する個別の事例がすでにインターネット上に記録されているため、Magento ユーザーは早急にパッチをインストールすることをお勧めします。
出所: オープンネット.ru