Adobe vá lỗ hổng 0-day bị khai thác trên Magento

[DDos]

Gần đây, Adobe đã tung ra các bản vá để giải quyết lỗ hổng an ninh nghiêm trọng ảnh hưởng đến ứng dụng mã nguồn mở Magento đang bị khai thác tích cực.

Với mã định danh CVE-2022-24086, điểm CVSS 9.8, đây là lỗ hổng liên quan đến vấn đề "xác thực đầu vào không phù hợp" có thể bị khai thác để thực thi mã tùy ý.

Lỗi này không yêu cầu quyền xác thực để khai thác, tuy nhiên Adobe cho biết, kẻ tấn công cần có đặc quyền quản trị để kích hoạt lỗ hổng.

Lỗ hổng an ninh ảnh hưởng đến Adobe Commerce và Magento Open Source 2.4.3-p1 và các phiên bản trước đó, phiên 2.3.7-p2 và các phiên bản cũ hơn. Adobe Commerce 2.3.3 trở xuống không bị ảnh hưởng bởi lỗ hổng này.

Trong bản tin an ninh, công ty cho biết: "Adobe nhận thấy CVE-2022-24086 đã bị khai thác trong thực tế trong các cuộc tấn công nhắm vào các thương gia sử dụng nền tảng Adobe Commerce".

Phát hiện này được đưa ra khi công ty phát hiện lỗ hổng và phần mềm độc hại thương mại điện tử Sansec tiết lộ vào tuần trước về một cuộc tấn công Magecart đã xâm nhập 500 trang web chạy nền tảng Magento 1 sử dụng phần mềm độc hại nhằm đánh cắp thông tin thẻ tín dụng.

Theo: thehackernews
​