Magento ашық электрондық коммерция платформасында маңызды осалдық (CVE-10-2022) анықталды, ол интернет-дүкендерді құру жүйелері нарығының шамамен 24086% алады, бұл кодты серверде нақты жіберу арқылы орындауға мүмкіндік береді. аутентификациядан өтпей сұрау. Осалдық 9.8-нан 10-ге бағаланған.
Мәселе төлем өңдеушіде пайдаланушыдан алынған параметрлерді дұрыс тексеруден туындайды. Әлсіздікті пайдалану туралы мәліметтер әлі ашылған жоқ, түзету «/{{.*?}}/» тұрақты өрнегі арқылы сұрау параметрлеріндегі таңбаларды тазалауға арналған.
Осалдық 2.3.3-p1 - 2.3.7-p2 және 2.4.0 - 2.4.3-p1 қоса алғанда шығарылымдарында пайда болады. Түзету патч түрінде қол жетімді (түзетілген жаңа шығарылымдар әлі жасалмаған). Magento пайдаланушыларына патчты шұғыл орнату ұсынылады, өйткені интернет-дүкендерге шабуыл жасау үшін қарастырылып отырған осалдықты пайдаланудың жекелеген жағдайлары Интернетте бұрыннан тіркелген.
Ақпарат көзі: opennet.ru