Онлайн дэлгүүр үүсгэх системийн зах зээлийн 10 орчим хувийг эзэлдэг Magento цахим худалдааг зохион байгуулах нээлттэй платформд чухал эмзэг байдлыг (CVE-2022-24086) илрүүлсэн бөгөөд энэ нь сервер дээр код гүйцэтгэх боломжийг олгодог. баталгаажуулалтгүйгээр тодорхой хүсэлт илгээх. Эмзэг байдлыг 9.8-аас 10-аар ноцтойгоор нь оноож өгсөн.
Асуудал нь захиалга боловсруулагч дээр хэрэглэгчээс хүлээн авсан параметрүүдийг буруу шалгаснаас үүдэлтэй. Эмзэг байдлын ашиглалтын талаарх дэлгэрэнгүй мэдээлэл хараахан гараагүй байгаа тул засвар нь "/{{.*?}}/" ердийн илэрхийлэл ашиглан асуулгын параметрүүд дэх тэмдэгтүүдийг арилгахад хүргэдэг.
Энэ эмзэг байдал нь 2.3.3-p1-ээс 2.3.7-p2, 2.4.0-оос 2.4.3-p1 хүртэлх хувилбаруудад харагдана. Засварыг нөхөөс хэлбэрээр авах боломжтой (засвартай шинэ хувилбарууд хараахан гараагүй байна). Онлайн дэлгүүрүүд рүү халдлага үйлдэхийн тулд тухайн эмзэг байдлыг ашигласан тохиолдол аль хэдийн интернетэд бүртгэгдсэн тул Magento хэрэглэгчид засварыг яаралтай суулгахыг зөвлөж байна.
Эх сурвалж: opennet.ru