В Adobe Commerce и Magento нашли ещё одну критическую RCE-брешь

Adobe опубликовала информацию ещё об одной критической уязвимости, затрагивающей Commerce и Magento. Как и выявленная чуть раньше брешь, эта получила статус критической, поскольку может привести к удалённому выполнению кода.

Новая уязвимость получила идентификатор CVE-2022-24087 и 9,8 балла по шкале CVSS. Корень проблемы кроется в некорректной обработке ввода.

«Мы выявили ещё одну брешь в безопасности и уже успели выпустить соответствующие патчи. На данный момент нам не поступала информация об эксплуатации уязвимости в реальных кибератаках», — пишет Adobe.

Известно, что CVE-2022-24087 угрожает Adobe Commerce и Magento 2.4.3-p1 и 2.3.7-p2, а также более ранним версиям софта. Тем не менее разработчики отмечают, что релизы с 2.3.0 по 2.3.3 не затронуты.

К слову, патч вышел действительно вовремя, поскольку вчера специалисты Positive Technologies сообщили об успешной эксплуатации CVE-2022-24086, благодаря которой им удалось удалённо выполнить код от лица неаутентифицированного пользователя.

Напомним, что в начале недели Adobe устранила 0-day в Commerce и Magento. Суть этой проблемы также крылась в неправильной проверке ввода.