Nog een kritieke RCE ontdekt in Adobe Commerce- en Magento-platforms

Plataformas Adobe Commerce y Magento Nachrichten

Adobe heeft donderdag zijn advies bijgewerkt voor een actief misbruikte zero-day die Adobe Commerce en Magento Open Source beïnvloedt om een ​​nieuw ontdekte fout te patchen die kan worden gebruikt om willekeurige code-uitvoering te bereiken.

Bijgehouden als CVE-2022-24087heeft het probleem – net als CVE-2022-24086 – een 9,8 op het CVSS-kwetsbaarheidsscoresysteem en heeft betrekking op een “Onjuiste invoervalidatie” bug die kan leiden tot de uitvoering van kwaadaardige code.

“We hebben aanvullende beveiligingsmaatregelen ontdekt die nodig zijn voor CVE-2022-24086 en hebben een update uitgebracht om deze aan te pakken (CVE-2022-24087)”, zegt het bedrijf. zei in een herzien bulletin. “Adobe is niet op de hoogte van eventuele exploits in het wild voor het probleem dat in deze update (CVE-2022-24087) wordt behandeld.”

Adobe Commerce- en Magento-platforms

Net als voorheen worden Adobe Commerce en Magento Open Source versies 2.4.3-p1 en eerder en 2.3.7-p2 en eerder beïnvloed door CVE-2022-24087, maar het is vermeldenswaard dat versies 2.3.0 tot 2.3.3 niet kwetsbaar zijn .

“Een nieuwe patch hebben [sic] is gepubliceerd voor Magento 2, om de vooraf geverifieerde uitvoering van externe code te verminderen,” beveiligingsonderzoeker Blaklisdie wordt gecrediteerd met het ontdekken van de fout hiernaast Eboda, getweet. “Als je met de eerste patch hebt gepatcht, IS DIT NIET VOLDOENDE om veilig te zijn. Update opnieuw!”

De patch arriveert als cyberbeveiligingsbedrijf Positive Technologies onthuld het was in staat om met succes een exploit voor CVE-2022-24086 te creëren om uitvoering van externe code door een niet-geverifieerde gebruiker te verkrijgen, waardoor het absoluut noodzakelijk was dat klanten snel handelen om de fixes toe te passen om mogelijk misbruik te voorkomen.

David
Rate author
Hackarizona