Phát hiện lỗ hổng RCE nghiêm trọng trong nền tảng Adobe Commerce và Magento

whf

Super Moderator
Thành viên BQT
06/07/2013
797
1.308 bài viết
Phát hiện lỗ hổng RCE nghiêm trọng trong nền tảng Adobe Commerce và Magento
Adobe đã phát hành các bản cập nhật cho Adobe Commerce và Magento Open Source. Các bản cập nhật này giải quyết một lỗ hổng được đánh giá là nghiêm trọng. Khai thác thành công có thể dẫn đến thực thi mã tùy ý.

1645207632341.png

Lỗ hổng CVE-2022-24087, với điểm 9.8 trên hệ thống chấm điểm lỗ hổng CVSS tương tự như CVE-2022-24086 và liên quan đến lỗi xác thực đầu vào không đúng (Improper Input Validation) có thể dẫn đến việc thực thi mã độc.

Công ty cho biết: "Chúng tôi đã phát hiện ra các biện pháp an ninh mạng bổ sung cần thiết cho CVE-2022-24086 và đã phát hành bản cập nhật để giải quyết chúng (CVE-2022-24087). Adobe chưa ghi nhận về bất kỳ hành động khai thác nào".

1645207643954.png

Adobe Commerce và Magento Open Source phiên bản 2.4.3-p1 và 2.3.7-p2 trở về trước bị ảnh hưởng bởi CVE-2022-24087, nhưng đáng chú ý là các phiên bản 2.3.0 đến 2.3.3 không bị ảnh hưởng.

"Một bản vá mới đã được phát hành cho Magento 2, để giảm thiểu việc thực thi mã từ xa pre-authenticated", nhà nghiên cứu bảo mật Blaklis, người được cho là đã phát hiện ra lỗ hổng cùng với Eboda, đã tweet. "Nếu bạn vá bằng bản vá đầu tiên, ĐIỀU NÀY KHÔNG CHẮC CHẮN an toàn. Vui lòng cập nhật lại!"

Bản vá được đưa ra khi công ty an ninh mạng Positive Technologies tiết lộ rằng họ có thể tạo thành công một phương thức khai thác cho CVE-2022-24086 để thực thi mã từ xa từ người dùng chưa được xác thực, khiến khách hàng của Adobe phải nhanh chóng cập nhật các bản sửa lỗi để ngăn chặn khả năng bị lợi dụng.

Nguồn: Thehackernews
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
adobe commerce cve-2022-24087 magento rce
Bên trên