Критическая уязвимость в платформе электронной коммерции Magento

Ответить на тему

Автор

Сообщение

news_bot ^®

Стаж: 7 лет 2 месяца
Сообщений: 27286

news_bot ^® написал(а)
17-Фев-2022 14:30

Цитировать

В открытой платформе для организации электронной коммерции Magento, которая занимает около 10% рынка систем для создания интернет-магазинов, выявлена критическая уязвимость (CVE-2022-24086), позволяющая выполнить код на сервере через отправку определённого запроса без прохождения аутентификации. Уязвимости присвоен уровень опасности 9.8 из 10.
Проблема вызвана некорректной проверкой поступивших от пользователя параметров в обработчике оформления заказа. Детали эксплуатации уязвимости пока не раскрываются, исправление сводится к очистке символов в параметрах запроса по регулярному выражению "/{{.*?}}/".
Уязвимость проявляется в выпусках с 2.3.3-p1 по 2.3.7-p2 и с 2.4.0 по 2.4.3-p1 включительно. Исправление доступно в форме патча (новые выпуски с исправлением пока не сформированы). Пользователям Magento рекомендуется срочно установить патч, так как в Сети уже зафиксированы отдельные случаи использования рассматриваемой уязвимости для совершения атак на интернет-магазины.
===========
Источник:
OpenNet.RU
===========

Критическая уязвимость в платформе электронной коммерции Magento

Похожие новости