Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi Udgivet i Zero Day den 18. februar 2022 | Emne: Sikkerhed
Adobe har opdateret sin rådgivning om en aktivt udnyttet kritisk sårbarhed i Magento- og Commerce Open Source-platformene til at inkludere endnu en RCE-fejl.
Teknikgiganten offentliggjorde revisioner af vejledningen den 17. februar .
Adobe udsendte oprindeligt en out-of-band-patch den 13. februar for at løse CVE-2022-24086, en kritisk præ-godkendelsessårbarhed, som kan udnyttes af angribere til at eksternt eksekvere vilkårlig kode.
CVE-2022-24086 har fået en CVSS-sværhedsscore på 9,8. Adobe sagde, at sikkerhedsbristen blev aktivt udnyttet “i meget begrænsede angreb rettet mod Adobe Commerce-handlere.”
Nu har Adobe tilføjet en yderligere sårbarhed til vejledningen, CVE-2022-24087.
“Vi har opdaget yderligere sikkerhedsbeskyttelser, der er nødvendige for CVE-2022-24086 og har udgivet en opdatering til at løse dem (CVE-2022-24087),” sagde Adobe.
Sårbarheden har også fået en CVSS-score på 9,8 og påvirker de samme produkter på samme måde.
Sikkerhedsfejlene kræver ingen administrative rettigheder for at udløse, og begge beskrives som ukorrekte inputvalideringsfejl, der fører til fjernudførelse af kode (RCE).
Da CVE-2022-24086 bliver misbrugt i naturen, har Adobe ikke frigivet yderligere tekniske detaljer. Cybersikkerhedsforskere fra Positive Technologies Offensive Team siger dog, at de har været i stand til at reproducere sårbarheden.
Adobe Commerce og Magento Open Source 2.3.3-p1 – 2.3.7-p2 og 2.4.0 – 2.4.3-p1 er påvirket. Men version 2.3.0 til 2.3.3 er ifølge virksomheden ikke påvirket af sårbarhederne.
Adobe har leveret en vejledning til brugere til manuelt at installere de nødvendige sikkerhedsrettelser.
Forskerne Eboda og Blaklis blev krediteret for opdagelsen af CVE-2022-24087. I et tweet sagde Blaklis, at den første patch til at løse CVE-2022-24086 er “ikke tilstrækkelig” og har opfordret Magento & Handelsbrugere til at anvende de nye rettelser.
Tidligere og relateret dækning
Patch nu: Adobe frigiver en nødløsning til udnyttet handel, Magento zero-day
Adobe opfordrer kunder til at opgradere efter 500 butikker, der er blevet brudt gennem Magento-platformen
Adobe lancerer Creative Cloud Express til enkel, mobil medieoprettelse
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre