Kritická zraniteľnosť (CVE-10-2022) bola identifikovaná na platforme otvoreného elektronického obchodu Magento, ktorá zaberá asi 24086 % trhu so systémami na vytváranie online obchodov, čo umožňuje spustenie kódu na serveri odoslaním špecifického žiadosť bez vykonania overenia. Zraniteľnosť má hodnotenie 9.8 z 10.
Problém je spôsobený nesprávnym overením parametrov prijatých od používateľa v obslužnom programe pokladne. Podrobnosti o zneužití zraniteľnosti ešte neboli zverejnené, oprava spočíva v odstránení znakov v parametroch požiadavky pomocou regulárneho výrazu "/{{.*?}}}/".
Zraniteľnosť sa objavuje vo vydaniach 2.3.3-p1 až 2.3.7-p2 a 2.4.0 až 2.4.3-p1 vrátane. Oprava je k dispozícii vo forme opravy (zatiaľ neboli vydané žiadne nové opravy). Používateľom Magenta sa odporúča urýchlene nainštalovať opravu, pretože na webe už boli zaznamenané jednotlivé prípady použitia predmetnej zraniteľnosti na útoky na internetové obchody.
Zdroj: opennet.ru