Sa bukas na platform para sa pag-aayos ng e-commerce Magento, na sumasakop sa halos 10% ng merkado para sa mga system para sa paglikha ng mga online na tindahan, isang kritikal na kahinaan ang natukoy (CVE-2022-24086), na nagpapahintulot sa code na maisagawa sa server sa pamamagitan ng pagpapadala ng isang partikular na kahilingan nang walang pagpapatunay. Ang kahinaan ay itinalaga ng antas ng kalubhaan na 9.8 sa 10.
Ang problema ay sanhi ng hindi tamang pag-verify ng mga parameter na natanggap mula sa user sa handler sa pagpoproseso ng order. Ang mga detalye ng pagsasamantala sa kahinaan ay hindi pa nabubunyag; ang pag-aayos ay nagmumula sa pag-clear ng mga character sa mga parameter ng query gamit ang regular na expression na "/{{.*?}}/".
Lumalabas ang kahinaan sa mga release na 2.3.3-p1 hanggang 2.3.7-p2 at 2.4.0 hanggang 2.4.3-p1, kasama. Ang pag-aayos ay magagamit sa anyo ng isang patch (mga bagong release na may pag-aayos ay hindi pa nabuo). Ang mga gumagamit ng Magento ay inirerekomenda na agarang i-install ang patch, dahil ang mga indibidwal na kaso ng paggamit ng kahinaan na pinag-uusapan upang maglunsad ng mga pag-atake sa mga online na tindahan ay naitala na sa Internet.
Pinagmulan: opennet.ru