Jauns RCE trūkums ir pievienots Adobe Commerce, Magento drošības padomam

  • Sep 05, 2023

Pētnieki ir spējuši arī atkārtot sākotnējo drošības trūkumu.

Adobe ir atjauninājis ieteikumus par aktīvi izmantotu kritisko ievainojamību Magento un Commerce atvērtā pirmkoda platformās, iekļaujot vēl vienu RCE kļūdu.

Drošība

  • 8 ļoti drošu attālināto darbinieku ieradumi
  • Kā atrast un noņemt spiegprogrammatūru no tālruņa
  • Labākie VPN pakalpojumi: kā salīdzināt labākos 5?
  • Kā uzzināt, vai esat iesaistīts datu pārkāpumā, un ko darīt tālāk

Tehnoloģiju gigants publicēja ieteikumu pārskatīšanu 17. februārī.

Adobe sākotnēji izdeva ārpusjoslas ielāps 13. februārī, lai atrisinātu CVE-2022-24086 — kritisku pirmsautentizācijas ievainojamību, ko uzbrucēji var izmantot, lai attālināti izpildītu patvaļīgu kodu.

CVE-2022-24086 ir izsniegts CVSS smaguma rādītājs 9,8. Adobe teica, ka drošības trūkums tiek aktīvi izmantots "ļoti ierobežotos uzbrukumos, kas vērsti pret Adobe Commerce tirgotājiem".

Tagad Adobe ir pievienojusi papildu ievainojamību padomam, CVE-2022-24087.

"Mēs esam atklājuši papildu drošības aizsardzību, kas nepieciešama CVE-2022-24086, un esam izlaiduši atjauninājumu, lai tos novērstu (CVE-2022-24087)," sacīja Adobe.

Ievainojamībai ir piešķirts arī CVSS vērtējums 9,8, un tā ietekmē tos pašus produktus tādā pašā veidā.

Drošības nepilnību aktivizēšanai nav nepieciešamas nekādas administratīvās privilēģijas, un abas ir aprakstītas kā nepareizas ievades validācijas kļūdas, kas izraisa attālo koda izpildi (RCE).

Tā kā CVE-2022-24086 tiek ļaunprātīgi izmantots savvaļā, Adobe nav izlaidusi nekādu papildu tehnisko informāciju. Tomēr kiberdrošības pētnieki no Positive Technologies Offensive Team saka, ka viņi ir spējuši lai reproducētu ievainojamību.

Tiek ietekmēts Adobe Commerce un Magento atvērtā pirmkoda versijas 2.3.3-p1-2.3.7-p2 un 2.4.0-2.4.3-p1. Tomēr versijas 2.3.0 līdz 2.3.3 ievainojamības neietekmē, norāda uzņēmums.

Adobe ir sniedza ceļvedi lai lietotāji manuāli instalētu nepieciešamos drošības ielāpus.

Pētnieki Eboda un Blaklis tika atzīts par CVE-2022-24087 atklāšanu. In tvīts, Blaklis teica, ka pirmais ielāps, lai atrisinātu CVE-2022-24086, "nav pietiekams", un ir mudinājis Magento & Commerce lietotājus lietot jaunos labojumus.

Iepriekšējais un saistītais pārklājums

  • Patch tagad: Adobe izlaiž avārijas labojumu izmantotajai Commerce, Magento nulles dienai
  • Adobe mudina klientus veikt jaunināšanu pēc 500 veikalu pārkāpumiem, izmantojot Magento platformu
  • Adobe izlaiž Creative Cloud Express vienkāršai, mobilā multivides izveidei

Vai jums ir padoms? Droši sazinieties ar WhatsApp | Signāls pa tālruni +447713 025 499 vai pa Keybase: charlie0