开放电子商务平台 Magento 中发现了一个严重漏洞 (CVE-10-2022),该平台占据了创建在线商店系统约 24086% 的市场,该漏洞允许通过发送特定的指令在服务器上执行代码。请求未通过身份验证。 该漏洞的评分为 9.8 分(满分 10 分)。
该问题是由于结账处理程序中从用户收到的参数验证不正确造成的。 该漏洞的利用细节尚未公开,修复方法是使用正则表达式“/{{.*?}}/”清除请求参数中的字符。
该漏洞出现在版本 2.3.3-p1 至 2.3.7-p2 以及 2.4.0 至 2.4.3-p1 中。 该修复以补丁形式提供(尚未生成包含该修复的新版本)。 建议Magento用户紧急安装补丁,因为网络上已经记录了利用该漏洞对在线商店进行攻击的个别案例。
来源: opennet.ru