آسیبپذیری بحرانی روزصفر در Magento
شرکت ادوبی در آخرین بهروزرسانی خود وصلههایی را منتشر کرده است که شامل یک آسیبپذیری امنیتی بحرانی است که بر محصولات Commerce و محصولات اوپن سورس Magento تأثیر میگذارد و به طور عمومی مورد بهرهبرداری قرار میگیرد.
این آسیبپذیری امنیتی با شناسه CVE-2022-24086، دارای شدت آسیبپذیری ۹.۸ از ۱۰ میباشد و یک نقص اعتبارسنجی نامناسب ورودی است که میتواند برای دستیابی به اجرای کد دلخواه مورد استفاده قرار گیرد.
این مورد یک نقص پیش فرض معتبر است به این معنی که میتواند بدون نیاز به اعتبارسنجی کاربر مورد سوءاستفاده قرار گیرد. اما شرکت مستقر در کالیفرنیا معقتد است که این آسیبپذیری تنها توسط مهاجمی با امتیازات مدیر قابل بهرهبرداری است.
محصولات تحت تأثیر
این نقص، نسخه ۲.۴.۳-p1 و نسخههای قبل از آن همچنین نسخه ۲.۳.۷-p2 و نسخههای قبل از آن مربوط به محصولات Adobe Commerce وMagento Open Source را تحت تأثیر قرار میدهد.Adobe Commerce 2.3.3 و نسخههای قبل از آن آسیبپذیر نیستند.
این یافتهها زمانی بدست آمد که شرکت Sansec- شرکت شناسایی کننده آسیبپذیری و بدافزار تجارت الکترونیک- هفته گذشته یک حمله Magecart را افشا کرد که ۵۰۰ سایت در حال اجرا بر روی پلتفرم Magento 1 را تحت تأثیر قرار داد. در این حمله یک اسکیمر کارت اعتباری برای دریافت اطلاعات حساس پرداخت طراحی شده بود.
توصیه امنیتی
گفته میشود که شرکت ادوبی بروزرسانی و وصلههای خود را برای Magento 1 متوقف کرده است اما هنوز هم بسیاری از پلتفرمهای تجارت الکترونیک به آن متکی هستند. از این رو توصیه میشود نسخههایMagento را به طور مرتب از وصلههای خارجی بروزرسانی کنید.
منبع خبر: https://cert.ir/news/13330
