အွန်လိုင်းစတိုးများဖန်တီးရန်အတွက် စနစ်များအတွက် စျေးကွက်၏ 10% ခန့်ကို စျေးကွက်၏ 2022% ခန့်နေရာယူထားသည့် e-commerce Magento စုစည်းမှုအတွက် ပွင့်လင်းသောပလပ်ဖောင်းတွင်၊ ဆာဗာမှကုဒ်ကို လုပ်ဆောင်နိုင်စေမည့် အရေးကြီးသောအားနည်းချက် (CVE-24086-9.8) ကို ဖော်ထုတ်ခဲ့သည်။ အထောက်အထားမခိုင်လုံဘဲ အချို့သော တောင်းဆိုချက်ကို ပေးပို့ခြင်း။ အားနည်းချက်ကို 10 တွင် XNUMX အဆင့်သတ်မှတ်ထားသည်။
အဆိုပါပြဿနာသည် အမှာစာလုပ်ဆောင်ခြင်းကိုင်တွယ်သူရှိ အသုံးပြုသူထံမှရရှိသော ကန့်သတ်ချက်များကို မှားယွင်းစွာအတည်ပြုခြင်းကြောင့် ဖြစ်ပေါ်လာခြင်းဖြစ်သည်။ အားနည်းချက်ကို အသုံးချခြင်း၏အသေးစိတ်အချက်အလက်များကို ထုတ်ဖော်ပြောဆိုခြင်းမရှိသေးပေ။ ပုံမှန်အသုံးအနှုန်း “/{{.*?}}/” ကို အသုံးပြု၍ မေးမြန်းမှုဘောင်များတွင် ဇာတ်ကောင်များကို ရှင်းလင်းခြင်းမှ ပြုပြင်ပေးပါသည်။
အားနည်းချက်သည် ထုတ်ဝေမှုများ 2.3.3-p1 မှ 2.3.7-p2 နှင့် 2.4.0 မှ 2.4.3-p1 တွင် ပါ၀င်ပါသည်။ ပြင်ဆင်ချက်အား patch ပုံစံဖြင့် ရနိုင်သည် (ပြင်ဆင်ချက်အသစ်များ မထုတ်လုပ်ရသေးပါ)။ Magento အသုံးပြုသူများသည် အွန်လိုင်းစတိုးများကို တိုက်ခိုက်ရာတွင် အင်တာနက်ပေါ်တွင် မှတ်တမ်းတင်ထားပြီးဖြစ်သောကြောင့် အဆိုပါ patch ကို အမြန်ထည့်သွင်းရန် အကြံပြုထားသည်။
source: opennet.ru