Dina platform kabuka pikeun ngatur e-commerce Magento, anu nyertakeun kira-kira 10% tina pasar pikeun sistem pikeun nyiptakeun toko online, kerentanan kritis parantos diidentifikasi (CVE-2022-24086), anu ngamungkinkeun kode dieksekusi dina server ku ngirim hiji pamundut tangtu tanpa auténtikasi. Kerentanan parantos ditugaskeun tingkat parah 9.8 tina 10.
Masalahna disababkeun ku verifikasi salah sahiji parameter anu ditampi ti pangguna dina panangan ngolah pesenan. Sacara rinci ngeunaan eksploitasi kerentanan teu acan diungkabkeun; perbaikanna dugi ka mupus karakter dina parameter query nganggo ekspresi biasa "/{{.*?}}/".
Kerentanan muncul dina release 2.3.3-p1 ngaliwatan 2.3.7-p2 jeung 2.4.0 ngaliwatan 2.4.3-p1, inklusif. Perbaikanna sayogi dina bentuk patch (kaluaran énggal sareng perbaikan henteu acan didamel). Pangguna Magento disarankeun pikeun gancang masang patch, sabab kasus individu ngagunakeun kerentanan anu dimaksud pikeun ngaluncurkeun serangan ka toko online parantos kacatet dina Internét.
sumber: opennet.ru