Серьезный недостаток безопасности был недавно обнаружен в Adobe Commerce и Magento, но веб-сайты электронной коммерции, на которых работают эти платформы, вряд ли будут применять исправление.
В результате «миллионы» веб-сайтов подвергаются атакам, которые могут иметь разрушительные последствия, предупреждают эксперты.
Как сообщает Звуковой сигналКомпьютерИсследователи кибербезопасности Sansec обнаружили брешь в безопасности, которая представляет собой незаконное ограничение уязвимости ссылки на внешний объект XML (XXE), и назвали ее CosmicSting. Теперь он отслеживается как CVE-2024-34102 и имеет уровень серьезности 9,8 (критический).
Патч и защита
«CosmicSting (также известный как CVE-2024-34102) — это самая серьезная ошибка, поразившая магазины Magento и Adobe Commerce за последние два года», — заявил Сансек в предупреждении безопасности. «Сам по себе он позволяет любому читать личные файлы (например, те, которые содержат пароли). Однако в сочетании с недавней ошибкой Iconv в Linux это становится кошмаром безопасности удаленного выполнения кода».
Вот версии продукта, на которые влияет CosmicSting:
- Adobe Commerce 2.4.7 и более ранние версии, включая 2.4.6-p5, 2.4.5-p7, 2.4.4-p8
- Расширенная поддержка Adobe Commerce 2.4.3-ext-7 и более ранних версий, 2.4.2-ext-7 и более ранних версий, 2.4.1-ext-7 и более ранних версий, 2.4.0-ext-7 и более ранних версий, 2.3.7-p4 -ext-7 и более ранние версии.
- Magento с открытым исходным кодом 2.4.7 и более ранние версии, включая 2.4.6-p5, 2.4.5-p7, 2.4.4-p8
- Плагин Adobe Commerce Webhooks версий с 1.2.0 по 1.4.0
Если в вашей компании запущен какой-либо из упомянутых выше процессов, вам следует как можно скорее применить уже доступное исправление.
По данным Sansec, около 75% пользователей Adobe Commerce и Magento еще не установили патч, хотя об уязвимости стало известно более недели назад. В настоящее время нет никаких свидетельств злоупотреблений, и Adobe не опубликовала никаких технических подробностей, чтобы не информировать хакеров. Однако Сансек утверждает, что патч можно перепроектировать и использовать, чтобы узнать больше об уязвимости.
Тем, кто не может установить патч сразу, рекомендуется эта ссылка.
Больше от TechRadar Pro
