Adobe actualizó el jueves su aviso para un día cero explotado activamente que afecta a Adobe Commerce y Magento Open Source para parchear una falla recién descubierta que podría usarse como arma para lograr la ejecución de código arbitrario.
rastreado como CVE-2022-24087el problema, como CVE-2022-24086, tiene una calificación de 9.8 en el sistema de puntuación de vulnerabilidad CVSS y se relaciona con un «Validación de entrada incorrecta» error que podría resultar en la ejecución de código malicioso.
«Descubrimos protecciones de seguridad adicionales necesarias para CVE-2022-24086 y lanzamos una actualización para abordarlas (CVE-2022-24087)», dijo la compañía. dijo en un boletín revisado. «Adobe no tiene conocimiento de ningún exploit en la naturaleza para el problema abordado en esta actualización (CVE-2022-24087)».
Como antes, las versiones 2.4.3-p1 y anteriores de Adobe Commerce y Magento Open Source y 2.3.7-p2 y anteriores se ven afectadas por CVE-2022-24087, pero vale la pena señalar que las versiones 2.3.0 a 2.3.3 no son vulnerables .
«Un nuevo parche tiene [sic] publicado para Magento 2, para mitigar la ejecución de código remoto preautenticado», investigador de seguridad Blaklisa quien se le atribuye el descubrimiento de la falla junto con Éboda, tuiteó. «Si parcheó con el primer parche, ESTO NO ES SUFICIENTE para estar seguro. ¡Actualice de nuevo!»
El parche llega como firma de ciberseguridad Positive Technologies revelado pudo crear con éxito un exploit para CVE-2022-24086 para obtener la ejecución remota de código de un usuario no autenticado, por lo que es imperativo que los clientes se muevan rápidamente para aplicar las correcciones para evitar una posible explotación.
