Në platformën e hapur për organizimin e e-commerce Magento, e cila zë rreth 10% të tregut të sistemeve për krijimin e dyqaneve online, është identifikuar një cenueshmëri kritike (CVE-2022-24086), e cila lejon ekzekutimin e kodit në server nga dërgimi i një kërkese të caktuar pa vërtetim. Cënueshmërisë i është caktuar një nivel ashpërsie prej 9.8 nga 10.
Problemi është shkaktuar nga verifikimi i gabuar i parametrave të marra nga përdoruesi në trajtuesin e përpunimit të porosive. Detajet e shfrytëzimit të cenueshmërisë nuk janë zbuluar ende; rregullimi zbret në pastrimin e karaktereve në parametrat e pyetjes duke përdorur shprehjen e rregullt "/{{.*?}}/".
Dobësia shfaqet në versionet 2.3.3-p1 deri në 2.3.7-p2 dhe 2.4.0 deri në 2.4.3-p1, përfshirëse. Rregullimi është i disponueshëm në formën e një patch (lëshimet e reja me rregullimin ende nuk janë krijuar). Përdoruesit e Magento rekomandohen të instalojnë urgjentisht patch-in, pasi raste individuale të përdorimit të cenueshmërisë në fjalë për të nisur sulme ndaj dyqaneve online janë regjistruar tashmë në internet.
Burimi: opennet.ru