Çevrimiçi mağazalar oluşturmaya yönelik sistemler pazarının yaklaşık% 10'unu kaplayan e-ticaret Magento'yu organize etmeye yönelik açık platformda, kodun sunucuda çalıştırılmasına izin veren kritik bir güvenlik açığı (CVE-2022-24086) tespit edildi. kimlik doğrulaması olmadan belirli bir isteğin gönderilmesi. Güvenlik açığına 9.8 üzerinden 10 önem derecesi verildi.
Sorun, sipariş işleme işleyicisinde kullanıcıdan alınan parametrelerin yanlış doğrulanmasından kaynaklanmaktadır. Güvenlik açığından yararlanmanın ayrıntıları henüz açıklanmadı; düzeltme, "/{{.*?}}/" normal ifadesini kullanarak sorgu parametrelerindeki karakterlerin temizlenmesinden ibarettir.
Güvenlik açığı, 2.3.3-p1'den 2.3.7-p2'ye ve 2.4.0'dan 2.4.3-p1'e kadar olan sürümlerde görülmektedir. Düzeltme bir yama biçiminde mevcuttur (düzeltmeyi içeren yeni sürümler henüz oluşturulmamıştır). Magento kullanıcılarının yamayı acilen yüklemeleri önerilir, çünkü söz konusu güvenlik açığının çevrimiçi mağazalara saldırı başlatmak için kullanıldığı bireysel durumlar internette zaten kaydedilmiştir.
Kaynak: opennet.ru