En kritisk sårbarhet (CVE-10-2022) har identifierats i den öppna e-handelsplattformen Magento, som upptar cirka 24086 % av marknaden för system för att skapa nätbutiker, vilket gör att kod kan exekveras på servern genom att skicka en specifik begäran utan att skicka autentisering. Sårbarheten har fått betyget 9.8 av 10.
Problemet orsakas av felaktig validering av parametrarna som tagits emot från användaren i kassahanteraren. Detaljer om utnyttjandet av sårbarheten har ännu inte avslöjats, korrigeringen handlar om att radera tecken i begärandeparametrarna med det reguljära uttrycket "/{{.*?}}/".
Sårbarheten visas i versionerna 2.3.3-p1 till 2.3.7-p2 och 2.4.0 till och med 2.4.3-p1 inklusive. Fixningen är tillgänglig i patchform (nya versioner med fixen har ännu inte genererats). Magento-användare rekommenderas att omedelbart installera patchen, eftersom enskilda fall av användning av sårbarheten i fråga för att utföra attacker mot onlinebutiker redan har registrerats på webben.
Källa: opennet.ru