Af Henrik Jensen, 15/02/22
Adobe har frigivet patches til en kritisk 0-dagssårbarhed, som er konstateret i Commerce og Magento Open Source-produkter. Sårbarheden udnyttes allerede aktivt.
Sårbarheden har fået id'et CVE-2022-24086 og en CVSS-score på 9,8 ud af 10. Den er blevet karakteriseret som et inputvalideringproblem, som udnyttes til eksekvering af uautoriseret kode.
Det er også en præ-autentifikationsfejl, hvilket betyder, at der kan opnås uautoriseret adgang uden legitim autentifikation.
Fejlen påvirker Adobe Commerce og Magento Open Source 2.4.3-p1 og tidligere versioner samt 2.3.7-p2 og tidligere versioner. Adobe Commerce 2.3.3 og lavere er ikke sårbare.
Links:
https://helpx.adobe.com/security/products/magento/apsb22-12.html