Katika jukwaa wazi la kuandaa e-commerce Magento, ambayo inachukua karibu 10% ya soko la mifumo ya kuunda duka mkondoni, hatari kubwa imetambuliwa (CVE-2022-24086), ambayo inaruhusu nambari kutekelezwa kwenye seva na kutuma ombi fulani bila uthibitishaji. Athari imepewa kiwango cha ukali cha 9.8 kati ya 10.
Tatizo linasababishwa na uthibitishaji usio sahihi wa vigezo vilivyopokelewa kutoka kwa mtumiaji katika kidhibiti cha usindikaji wa utaratibu. Maelezo ya utumiaji wa athari bado hayajafichuliwa; urekebishaji unatokana na kufuta vibambo katika vigezo vya hoja kwa kutumia usemi wa kawaida "/{{.*?}}/".
Athari hii inaonekana katika matoleo 2.3.3-p1 hadi 2.3.7-p2 na 2.4.0 hadi 2.4.3-p1, zikijumuishwa. Marekebisho yanapatikana katika mfumo wa kiraka (matoleo mapya na marekebisho bado hayajatolewa). Watumiaji wa Magento wanapendekezwa kusakinisha kiraka haraka, kwa kuwa visa vya mtu binafsi vya kutumia uwezekano wa kuathiriwa kuzindua mashambulizi kwenye maduka ya mtandaoni tayari vimerekodiwa kwenye mtandao.
Chanzo: opennet.ru