Adobe опубликовала информацию ещё об одной критической уязвимости, затрагивающей Commerce и Magento. Как и выявленная чуть раньше брешь, эта получила статус критической, поскольку может привести к удалённому выполнению кода.
Новая уязвимость получила идентификатор CVE-2022-24087 и 9,8 балла по шкале CVSS. Корень проблемы кроется в некорректной обработке ввода.
«Мы выявили ещё одну брешь в безопасности и уже успели выпустить соответствующие патчи. На данный момент нам не поступала информация об эксплуатации уязвимости в реальных кибератаках», — пишет Adobe.
Известно, что CVE-2022-24087 угрожает Adobe Commerce и Magento 2.4.3-p1 и 2.3.7-p2, а также более ранним версиям софта. Тем не менее разработчики отмечают, что релизы с 2.3.0 по 2.3.3 не затронуты.
К слову, патч вышел действительно вовремя, поскольку вчера специалисты Positive Technologies сообщили об успешной эксплуатации CVE-2022-24086, благодаря которой им удалось удалённо выполнить код от лица неаутентифицированного пользователя.
Напомним, что в начале недели Adobe устранила 0-day в Commerce и Magento. Суть этой проблемы также крылась в неправильной проверке ввода.
