In aperto suggestu ad Magento e-commercium ordinandum, quod circiter 10% mercatus in systematis online creandis occupat, vulnerabilitas critica notata est (CVE-2022-24086), quae codicem a servo exsecutioni mandanti permittit. certam petitionem sine authenticatione mittens. Vulnerabilitas severitas graduum 9.8 ex 10. assignata est.
Problema causatur ex falsa parametri verificatione ab usore recepta in ordine tracto processus. Singula abusionis de vulnerabilitate nondum detecta sunt, fixa vulnera ad notas purgandas in quaestionis parametris adhibita expressione regulari "/{{.*?}}/".
vulnerabilitas apparet in remissionibus 2.3.3-p1 per 2.3.7-p2 et 2.4.0 ad 2.4.3-p1, inclusive. Fix praesto est in forma commissurae (novae emissiones cum fix nondum generatae sunt). Magento usores commendantur ut instanter commissuram instituant, cum singuli casus utendi vulnerabilitatem de qua agitur ut impetus in commeatus interretiales iam in Interreti notati sunt.
Source: opennet.ru