ในแพลตฟอร์มแบบเปิดสำหรับจัดระเบียบอีคอมเมิร์ซอีคอมเมิร์ซ Magento ซึ่งครอบครองประมาณ 10% ของตลาดสำหรับระบบสำหรับการสร้างร้านค้าออนไลน์ มีการระบุช่องโหว่ที่สำคัญ (CVE-2022-24086) ซึ่งอนุญาตให้เรียกใช้โค้ดบนเซิร์ฟเวอร์โดย ส่งคำขอบางอย่างโดยไม่มีการตรวจสอบสิทธิ์ ช่องโหว่นี้ได้รับการกำหนดระดับความรุนแรงไว้ที่ 9.8 จาก 10
ปัญหาเกิดจากการตรวจสอบพารามิเตอร์ที่ได้รับจากผู้ใช้ในตัวจัดการการประมวลผลคำสั่งซื้ออย่างไม่ถูกต้อง รายละเอียดของการหาประโยชน์จากช่องโหว่ดังกล่าวยังไม่ได้รับการเปิดเผย การแก้ไขเริ่มต้นที่การล้างอักขระในพารามิเตอร์การค้นหาโดยใช้นิพจน์ทั่วไป “/{{.*?}}/”
ช่องโหว่นี้ปรากฏในรุ่น 2.3.3-p1 ถึง 2.3.7-p2 และ 2.4.0 ถึง 2.4.3-p1 โดยรวม การแก้ไขมีให้ในรูปแบบของแพทช์ (ยังไม่ได้สร้างรุ่นใหม่ที่มีการแก้ไข) ขอแนะนำให้ผู้ใช้ Magento ติดตั้งแพตช์โดยด่วน เนื่องจากแต่ละกรณีของการใช้ช่องโหว่ที่เป็นปัญหาในการโจมตีร้านค้าออนไลน์ได้ถูกบันทึกไว้บนอินเทอร์เน็ตแล้ว
ที่มา: opennet.ru