Дар платформаи кушодаи ташкили тиҷорати электронии Magento, ки тақрибан 10% бозори системаҳои эҷоди мағозаҳои онлайнро ишғол мекунад, осебпазирии муҳим муайян карда шудааст (CVE-2022-24086), ки имкон медиҳад код дар сервер иҷро карда шавад. фиристодани дархости муайян бе аутентификатсия. Ба осебпазирӣ дараҷаи вазнинии 9.8 аз 10 дараҷа дода шудааст.
Мушкилот дар натиҷаи санҷиши нодурусти параметрҳои аз корбар дар коркарди фармоиш гирифташуда ба вуҷуд омадааст. Тафсилоти истифодаи осебпазирӣ ҳанӯз ифшо нашудааст; ислоҳ барои тоза кардани аломатҳо дар параметрҳои дархост бо истифода аз ифодаи муқаррарии "/{{.*?}}/" анҷом дода мешавад.
осебпазирӣ дар версияҳои 2.3.3-p1 то 2.3.7-p2 ва 2.4.0 то 2.4.3-p1, аз ҷумла пайдо мешавад. Ислоҳ дар шакли часпак дастрас аст (релизҳои нав бо ислоҳ ҳанӯз тавлид нашудаанд). Ба корбарони Magento тавсия дода мешавад, ки патчро фавран насб кунанд, зеро ҳолатҳои алоҳидаи истифодаи осебпазирӣ барои оғози ҳамла ба мағозаҳои онлайн аллакай дар Интернет сабт шудаанд.
Манбаъ: opennet.ru