Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Adobe ha rilasciato una correzione per una vulnerabilità critica zero-day nei prodotti open source Adobe Commerce e Magento. La vulnerabilità viene sfruttata attivamente dagli hacker in attacchi reali.
La vulnerabilità (CVE-2022-24086) ha ricevuto un punteggio di 9,8 su un massimo di 10 sulla scala CVSS ed è correlata a una convalida dell’input errata che può essere utilizzata per eseguire codice arbitrario. Lo sfruttamento della vulnerabilità non richiede credenziali, ma richiede diritti di amministratore
Gli operatori che utilizzano Magento 2 (versioni da 2.3.3 a 2.3.7) possono installare manualmente la patch rilasciata, poiché questo processo richiede la modifica solo di poche righe.
In un bollettino sulla sicurezza, l’azienda descrive gli attacchi associati a questo bug come “molto limitati” e relativi ad Adobe Commerce, ovvero il problema non ha ancora raggiunto lo sfruttamento di massa del problema.
La vulnerabilità interessa Adobe Commerce e Magento Open Source versioni 2.4.3-p1 e successive, nonché le versioni 2.3.7-p2 e successive. Le versioni di Adobe Commerce 2.3.3 e precedenti non sono interessate.
La vulnerabilità è diventata nota dopo che gli specialisti di Sansec hanno rilevato gli attacchi del gruppo Magecart, durante i quali i criminali hanno compromesso 500 siti basati su Magento 1.
