Er is een kritieke kwetsbaarheid (CVE-10-2022) geïdentificeerd in het open e-commerceplatform Magento, dat ongeveer 24086% van de markt in beslag neemt voor systemen voor het creëren van online winkels, waarmee code op de server kan worden uitgevoerd door een specifiek bericht te verzenden verzoek zonder authenticatie door te voeren. De kwetsbaarheid krijgt een score van 9.8 uit 10.
Het probleem wordt veroorzaakt door een onjuiste validatie van de parameters die van de gebruiker zijn ontvangen in de kassa-handler. Details over de exploitatie van het beveiligingslek zijn nog niet bekendgemaakt. De oplossing komt neer op het wissen van de tekens in de verzoekparameters met behulp van de reguliere expressie "/{{.*?}}/".
De kwetsbaarheid komt voor in releases 2.3.3-p1 tot en met 2.3.7-p2 en 2.4.0 tot en met 2.4.3-p1. De fix is beschikbaar in patchvorm (er zijn nog geen nieuwe fixreleases uitgebracht). Magento-gebruikers worden geadviseerd de patch dringend te installeren, omdat er al individuele gevallen zijn geregistreerd van het gebruik van de betreffende kwetsbaarheid om aanvallen op online winkels uit te voeren.
Bron: opennet.ru