En ny kritisk nuldagssårbarhed opdaget i Adobe Commerce og Magento platforme

Adobe har torsdag opdateret sin rådgivning for en aktivt udnyttet nuldags-sårbarhed for alle Adobe Commerce og Magento Open Source. Med fejlen kan man opnå at enhver vilkårlig kode udføres.

Sporet som CVE-2022-24087, ligesom CVE-2022-24086 – er fejlen beømt så højt som 9,8 på CVSS sårbarhedskalalen. Fejlen er en klassisk “Forkert Input Validation” fejl, hvorefter der kan udføres skadelig kode.

“Vi har opdaget yderligere sikkerhedsbeskyttelse er nødvendige for CVE-2022-24086 og har udgivet en opdatering til at løse dem (CVE-2022-24087),” sagde Adobe i en revideret bulletin. “Adobe er ikke bekendt med nogen udnyttelser for det problem, der behandles i denne opdatering (CVE-2022-24087).” Men det er jo selvsagt at nu står Adobe Commerce og Magento for skud og det er et spørgsmål om tid før de første skader rapporteres.

Som før påvirkes Adobe Commerce og Magento Open Source version 2.4.3-p1 og tidligere og 2.3.7-p2 og tidligere af CVE-2022-24087, men det er værd at bemærke, at version 2.3.0 til 2.3.3 ikke er sårbare.

“En ny patch er blevet offentliggjort for Magento 2, for at afbøde den forhåndsgodkendte fjernkørsel af kode,” – denne nyhed tweetede sikkerhedsforsker Blaklis, der krediteres for at opdage fejlen sammen med Eboda. “Hvis du lappede med den første patch, er dette ikke tilstrækkeligt til at være sikker. Opdater igen!”

Out-of-band-opdateringen ankommer, da cybersikkerhedsfirmaet Positive Technologies afslørede , at det var i stand til at skabe en udnyttelse for CVE-2022-24086 for at få fjernkørsel af kode fra en ikke-godkendt bruger, hvilket gør det bydende nødvendigt, at kunderne hurtigt anvender rettelserne for at forhindre mulig udnyttelse.

Kilde: ADOBE.COM
Fotokredit: MAGENTO.COM

Scroll til toppen