Adobe heeft zondag patches uitgerold om een kritieke beveiligingskwetsbaarheid te bevatten die van invloed is op zijn Commerce- en Magento Open Source-producten waarvan wordt gezegd dat deze actief in het wild worden uitgebuit.
Bijgehouden als CVE-2022-24086de tekortkoming heeft een CVSS-score van 9,8 op 10 op het kwetsbaarheidsscoresysteem en is gekarakteriseerd als een “onjuiste invoervalidatie” probleem dat kan worden bewapend om willekeurige code-uitvoering te bereiken.
Het is ook een vooraf geverifieerde fout, wat betekent dat het kan worden misbruikt zonder dat er inloggegevens nodig zijn. Maar het bedrijf met hoofdkantoor in Californië wees er ook op dat de kwetsbaarheid alleen kan worden misbruikt door een aanvaller met beheerdersrechten.
De fout treft Adobe Commerce en Magento Open Source 2.4.3-p1 en eerdere versies, evenals 2.3.7-p2 en eerdere versies. Adobe Commerce 2.3.3 en lager zijn niet kwetsbaar.
“Adobe is zich ervan bewust dat CVE-2022-24086 in het wild is misbruikt in zeer beperkte aanvallen gericht op Adobe Commerce-handelaren”, merkte het bedrijf op in een advies gepubliceerd op 13 februari 2022.
De bevindingen komen als e-commerce malware en kwetsbaarheidsdetectiebedrijf Sansec onthuld vorige week over een Magecart-aanval die 500 sites met het Magento 1-platform in gevaar bracht met een creditcard-skimmer die is ontworpen om gevoelige betalingsinformatie over te hevelen.
