Adobe ha rilasciato una patch di emergenza per Adobe Commerce e Magento Open Source che dovrebbe essere implementata urgentemente per risolvere una vulnerabilità classificata critica.
Il bug di esecuzione di codice remoto (RCE) zero-day, classificato come CVE-2022-24086, è stato sfruttato in natura in attacchi molto limitati contro i commercianti di Adobe Commerce.
La vulnerabilità consente la preautenticazione RCE derivante da una convalida errata dell’input. Lo sfruttamento riuscito potrebbe portare all’esecuzione arbitraria di codice da remoto.
Ha un punteggio di 9,8 su 10 nella scala di gravità della vulnerabilità CVSS, ma c’è un fattore attenuante: un utente malintenzionato dovrebbe disporre dei privilegi di amministratore per avere successo.
Il bug influisce sulle versioni 2.3.7-p2 e precedenti e 2.4.3-p1 e precedenti di entrambe le piattaforme di eCommerce.
https://threatpost.com/adobe-zero-day-magento-rce-attack/178407/