Киберпреступники активно эксплуатируют 0Day-уязвимость в Magento

Специалисты компании Adobe выпустили исправление для критической уязвимости нулевого дня в продуктах с открытым исходным кодом Adobe Commerce и Magento. Уязвимость активно эксплуатируется хакерами в реальных атаках.

Уязвимость ( CVE-2022-24086 ) получила оценку 9,8 баллов из максимальных 10 по шкале CVSS и связана с некорректной проверкой вводимых которая может быть использована для выполнения произвольного кода. Для эксплуатации уязвимости не нужны учетные данные, но нужны права администратора

Уязвимость затрагивает версии Adobe Commerce и Magento Open Source 2.4.3-p1 и старше, а также версии 2.3.7-p2 и старше. Версии Adobe Commerce 2.3.3 и старше не подвержены уязвимости.

Об уязвимости стало известно после того, как специалисты компании Sansec зафиксировали атаки группировки Magecart, в ходе которых преступники скомпрометировали 500 сайтов на базе Magento 1.