Phát hiện lỗ hổng RCE nghiêm trọng trong nền tảng Adobe Commerce và Magento

Adobe đã phát hành các bản cập nhật cho Adobe Commerce và Magento Open Source. Các bản cập nhật này giải quyết một lỗ hổng được đánh giá là nghiêm trọng. Khai thác thành công có thể dẫn đến thực thi mã tùy ý.

Lỗ hổng CVE-2022-24087, với điểm 9.8 trên hệ thống chấm điểm lỗ hổng CVSS tương tự như CVE-2022-24086 và liên quan đến lỗi xác thực đầu vào không đúng (Improper Input Validation) có thể dẫn đến việc thực thi mã độc.

Công ty cho biết: “Chúng tôi đã phát hiện ra các biện pháp an ninh mạng bổ sung cần thiết cho CVE-2022-24086 và đã phát hành bản cập nhật để giải quyết chúng (CVE-2022-24087). Adobe chưa ghi nhận về bất kỳ hành động khai thác nào”.

Adobe Commerce và Magento Open Source phiên bản 2.4.3-p1 và 2.3.7-p2 trở về trước bị ảnh hưởng bởi CVE-2022-24087, nhưng đáng chú ý là các phiên bản 2.3.0 đến 2.3.3 không bị ảnh hưởng.

“Một bản vá mới đã được phát hành cho Magento 2, để giảm thiểu việc thực thi mã từ xa pre-authenticated”, nhà nghiên cứu bảo mật Blaklis, người được cho là đã phát hiện ra lỗ hổng cùng với Eboda, đã tweet. “Nếu bạn vá bằng bản vá đầu tiên, ĐIỀU NÀY KHÔNG CHẮC CHẮN an toàn. Vui lòng cập nhật lại!”

Bản vá được đưa ra khi công ty an ninh mạng Positive Technologies tiết lộ rằng họ có thể tạo thành công một phương thức khai thác cho CVE-2022-24086 để thực thi mã từ xa từ người dùng chưa được xác thực, khiến khách hàng của Adobe phải nhanh chóng cập nhật các bản sửa lỗi để ngăn chặn khả năng bị lợi dụng.

Nguồn Thehackernews