Në një platformë të hapur për organizimin e e-commerce Magento, i cili përbën afërsisht 10% të tregut të sistemeve të krijimit të dyqaneve online, ka identifikuar një dobësi kritike (CVE-2022-24086) që lejon ekzekutimin e kodit në server duke dërguar një kërkesë specifike pa autentifikim. Dobësisë i është caktuar një nivel ashpërsie prej 9.8 nga 10.
Problemi shkaktohet nga validimi i gabuar i parametrave të dhënë nga përdoruesi në trajtuesin e përpunimit të porosive. Detajet se si është shfrytëzuar dobësia nuk janë zbuluar ende; rregullimi konsiston në pastrimin e karaktereve në parametrat e kërkesës duke përdorur shprehjen e rregullt "/{{.*?}}/".
Dobësia ndikon në versionet 2.3.3-p1 deri në 2.3.7-p2 dhe 2.4.0 deri në 2.4.3-p1. Një rregullim është i disponueshëm si një patch (versionet e reja me rregullimin nuk janë krijuar ende). Për përdoruesit Magento Rekomandohet që ta instaloni menjëherë patch-in, pasi ka pasur raste të izoluara të kësaj dobësie që është përdorur për të sulmuar dyqanet online.
Burimi: opennet.ru
