کمیته رکن چهارم – ادوبی یک آسیبپذیری بحرانی روزصفر را برطرف کرد که بر محصولات Commerce و محصولات اوپنسورس Magento تأثیر میگذارد.
شرکت ادوبی در آخرین بهروزرسانی خود وصلههایی را منتشر کرده است که شامل رفع یک آسیبپذیری امنیتی بحرانی است که بر محصولات Commerce و محصولات اوپن سورس Magento تأثیر میگذارد و به طور عمومی مورد بهرهبرداری قرار میگیرد.
این آسیبپذیری امنیتی با شناسه CVE-۲۰۲۲-۲۴۰۸۶، دارای شدت آسیبپذیری ۹.۸ از ۱۰ است و یک نقص اعتبارسنجی نامناسب ورودی است که میتواند برای دستیابی به اجرای کد دلخواه مورد استفاده قرار گیرد. این مورد یک نقص پیشفرض معتبر است به این معنی که میتواند بدون نیاز به اعتبارسنجی کاربر مورد سوءاستفاده قرار گیرد. اما شرکت معقتد است که این آسیبپذیری تنها توسط مهاجمی با امتیازات مدیر قابل بهرهبرداری است.
این نقص، نسخه ۲.۴.۳-p۱ و نسخههای قبل از آن همچنین نسخه ۲.۳.۷-p۲ و نسخههای قبل از آن مربوط به محصولات Adobe Commerce وMagento Open Source را تحت تأثیر قرار میدهد. Adobe Commerce ۲.۳.۳ و نسخههای قبل از آن آسیبپذیر نیستند.
این یافتهها زمانی بدست آمد که شرکت Sansec -شرکت شناسایی کننده آسیبپذیری و بدافزار تجارت الکترونیک- هفته گذشته یک حمله Magecart را افشا کرد که ۵۰۰ سایت در حال اجرا بر روی پلتفرم Magento ۱ را تحت تأثیر قرار داد. در این حمله یک اسکیمر کارت اعتباری برای دریافت اطلاعات حساس پرداخت طراحی شده بود.
گفته میشود که شرکت ادوبی بهروزرسانی و وصلههای خود را برای Magento ۱ متوقف کرده است اما هنوز هم بسیاری از پلتفرمهای تجارت الکترونیک به آن متکی هستند. از این رو توصیه میشود نسخههای Magento را به طور مرتب از وصلههای خارجی بهروزرسانی کنید.
منبع : مرکز ماهر
