アドビは日曜日に緊急アドバイザリをリリースし、コマースとMagentoのユーザーに、攻撃で悪用された重大なゼロデイ脆弱性を通知しました。
として追跡された欠陥 CVE-2022-24086 9.8のCVSSスコアが割り当てられ、任意のコードの実行につながる可能性のある不適切な入力検証の問題として説明されています。 アドビは、この脆弱性は認証なしで悪用される可能性があると述べています。
セキュリティホールは、MagentoオープンソースおよびAdobe Commerce eコマースプラットフォーム、特にバージョン2.4.3-p1以前および2.3.7-p2以前に影響します。 アドビは開発しました パッチ、として配信されます MDVA-43395_EE_2.4.3-p1_v1.
ソフトウェアの巨人は、「CVE-2022-24086は、AdobeCommerceの商人を標的とした非常に限られた攻撃で実際に悪用されています」と述べています。
攻撃に関する他の情報は提供されておらず、アドビはこの脆弱性を報告したことで誰も信用していません。 SecurityWeekは、詳細について会社に連絡しました。
Eコマースソフトウェアの脆弱性は通常、大規模な攻撃の標的になります。 最近の例のXNUMXつは、 Magento500を搭載した1のオンラインストア ユーザーデータを収集するように設計されたWebスキマーを植え付けることを目的としたサイバー犯罪者の標的になりました。 攻撃者は欠陥の組み合わせを悪用し、Magento1がセキュリティアップデートを受信しなくなったという事実を利用しました。
アドビがFlashを殺害して以来、攻撃で悪用された同社の製品の脆弱性はごくわずかです。 ただし、アドビ製品のセキュリティバグは依然として価値があります。
先月、AdobeはAcrobatとReaderの欠陥にパッチを当てました。 稼いだ研究者$ 150,000 2021年XNUMX月に開催された中国のTianfuカップハッキングコンテストで。
関連する AdobeはIllustratorの13の脆弱性にパッチを当てます
関連する アドビが14のソフトウェア製品のセキュリティ上の欠陥にパッチを当てる
関連する アドビが重大なRoboHelpサーバーのセキュリティ上の欠陥にパッチを当てる
Eduard Kovacs(@EduardKovacs)はSecurityWeekの寄稿編集者です。 彼は高校のIT教師としてXNUMX年間働いた後、Softpediaのセキュリティニュースレポーターとしてジャーナリズムのキャリアを開始しました。 Eduardは、産業情報学の学士号と、電気工学に適用されるコンピューター技術の修士号を取得しています。
タグ:
