V odprti platformi za organiziranje e-poslovanja Magento, ki zavzema približno 10 % trga sistemov za izdelavo spletnih trgovin, je bila identificirana kritična ranljivost (CVE-2022-24086), ki omogoča izvajanje kode na strežniku s strani pošiljanje določene zahteve brez avtentikacije. Ranljivosti je bila dodeljena stopnja resnosti 9.8 od 10.
Težava je posledica nepravilnega preverjanja parametrov, prejetih od uporabnika v upravljalniku obdelave naročil. Podrobnosti o izkoriščanju ranljivosti še niso bile razkrite, popravek se zmanjša na brisanje znakov v poizvedbenih parametrih z uporabo regularnega izraza “/{{.*?}}/”.
Ranljivost se pojavi v izdajah od 2.3.3-p1 do 2.3.7-p2 in od 2.4.0 do vključno 2.4.3-p1. Popravek je na voljo v obliki popravka (nove izdaje s popravkom še niso ustvarjene). Uporabnikom Magenta priporočamo nujno namestitev popravka, saj so na spletu že zabeleženi posamezni primeri uporabe omenjene ranljivosti za izvajanje napadov na spletne trgovine.
Vir: opennet.ru