I en åpen plattform for organisering av e-handel Magento, som står for omtrent 10 % av markedet for systemer for oppretting av nettbutikker, har identifisert en kritisk sårbarhet (CVE-2022-24086) som tillater kodekjøring på serveren ved å sende en spesifikk forespørsel uten autentisering. Sårbarheten har fått en alvorlighetsgrad på 9.8 av 10.
Problemet er forårsaket av feil verifisering av parametere mottatt fra brukeren i ordrebehandlingsbehandleren. Detaljene om utnyttelse av sårbarheten er ennå ikke avslørt; rettelsen koker ned til å fjerne tegn i søkeparameterne ved å bruke det regulære uttrykket "/{{.*?}}/".
Sårbarheten påvirker versjon 2.3.3-p1 til og med 2.3.7-p2 og 2.4.0 til og med 2.4.3-p1. En feilretting er tilgjengelig som en patch (nye versjoner med feilrettingen er ennå ikke laget). For brukere Magento Det anbefales å installere oppdateringen umiddelbart, da det allerede har vært isolerte tilfeller der denne sårbarheten har blitt brukt til å angripe nettbutikker.
Kilde: opennet.ru
