Hôm Chủ Nhật, Adobe đã tung ra các bản vá để ngăn chặn lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến các sản phẩm Mã nguồn mở và Magento của họ mà họ cho là đang bị khai thác tích cực.
Được theo dõi là CVE-2022-24086, điểm thiếu sót có điểm CVSS là 9,8 trên 10 trên hệ thống chấm điểm lỗ hổng và được đặc trưng là vấn đề “xác thực đầu vào không phù hợp” có thể được vũ khí hóa để thực thi mã tùy ý.
Đó cũng là một lỗ hổng được xác thực trước, có nghĩa là nó có thể bị khai thác mà không yêu cầu bất kỳ thông tin đăng nhập nào. Nhưng công ty có trụ sở tại California cũng chỉ ra rằng lỗ hổng chỉ có thể bị kẻ tấn công có đặc quyền quản trị khai thác.
Lỗ hổng này ảnh hưởng đến Adobe Commerce và Magento Open Source 2.4.3-p1 và các phiên bản trước đó cũng như 2.3.7-p2 và các phiên bản trước đó. Adobe Commerce 2.3.3 trở xuống không dễ bị tấn công.
“Adobe biết rằng CVE-2022-24086 đã bị khai thác trong tự nhiên trong các cuộc tấn công rất hạn chế nhắm vào các thương gia Adobe Commerce”, công ty lưu ý trong một lời khuyên được xuất bản ngày 13 tháng 2 năm 2022.
Phát hiện này được đưa ra khi công ty phát hiện lỗ hổng và phần mềm độc hại thương mại điện tử Sansec đã tiết lộ vào tuần trước về một cuộc tấn công Magecart đã xâm nhập 500 trang web chạy nền tảng Magento 1 bằng một trình duyệt thẻ tín dụng được thiết kế để lấy thông tin thanh toán nhạy cảm.
.
