Для успешной эксплуатации уязвимости не нужны учетные данные, но требуются права администратора
https://www.securitylab.ru/upload/ib...6747d6239b.jpg
Специалисты компании Adobe выпустили исправление для критической уязвимости нулевого дня в продуктах с открытым исходным кодом Adobe Commerce и Magento. Уязвимость активно эксплуатируется хакерами в реальных атаках.
Уязвимость ( CVE-2022-24086 ) получила оценку 9,8 баллов из максимальных 10 по шкале CVSS и связана с некорректной проверкой вводимых которая может быть использована для выполнения произвольного кода. Для эксплуатации уязвимости не нужны учетные данные, но нужны права администратора
Уязвимость затрагивает версии Adobe Commerce и Magento Open Source 2.4.3-p1 и старше, а также версии 2.3.7-p2 и старше. Версии Adobe Commerce 2.3.3 и старше не подвержены уязвимости.
Об уязвимости стало известно после того, как специалисты компании Sansec зафиксировали атаки группировки Magecart, в ходе которых преступники скомпрометировали 500 сайтов на базе Magento 1.