ای کامرس میگینٹو کو منظم کرنے کے لیے کھلے پلیٹ فارم میں، جو کہ آن لائن اسٹورز بنانے کے لیے سسٹمز کی مارکیٹ کے تقریباً 10% حصے پر قابض ہے، ایک اہم کمزوری کی نشاندہی کی گئی ہے (CVE-2022-24086)، جو سرور پر کوڈ کو لاگو کرنے کی اجازت دیتا ہے۔ بغیر تصدیق کے ایک مخصوص درخواست بھیجنا۔ کمزوری کو 9.8 میں سے 10 کی شدت کی سطح تفویض کی گئی ہے۔
مسئلہ آرڈر پروسیسنگ ہینڈلر میں صارف سے موصول ہونے والے پیرامیٹرز کی غلط تصدیق کی وجہ سے ہوا ہے۔ خطرے کے استحصال کی تفصیلات کا ابھی تک انکشاف نہیں کیا گیا ہے؛ فکس ریگولر ایکسپریشن "/{{.*?}}/" کا استعمال کرتے ہوئے استفسار کے پیرامیٹرز میں حروف کو صاف کرنے کے لیے ابلتا ہے۔
یہ خطرہ 2.3.3-p1 سے لے کر 2.3.7-p2 تک اور 2.4.0 سے لے کر 2.4.3-p1 تک سمیت، ریلیزز میں ظاہر ہوتا ہے۔ فکس ایک پیچ کی شکل میں دستیاب ہے (فکس کے ساتھ نئی ریلیز ابھی تک تیار نہیں ہوئی ہیں)۔ Magento کے صارفین کو فوری طور پر پیچ انسٹال کرنے کی سفارش کی جاتی ہے، کیونکہ آن لائن اسٹورز پر حملے شروع کرنے کے لیے زیربحث کمزوری کو استعمال کرنے کے انفرادی کیسز پہلے ہی انٹرنیٹ پر ریکارڈ کیے جا چکے ہیں۔
ماخذ: opennet.ru