شرکت ادوبی در آخرین بروزرسانی خود وصلههایی را منتشر کرده است که شامل یک #آسیبپذیری امنیتی بحرانی است که بر محصولات Commerce و محصولات اوپن سورس Magento تأثیر میگذارد و به طور عمومی مورد بهرهبرداری قرار میگیرد. این آسیبپذیری امنیتی با شناسه CVE-2022-24086، دارای شدت آسیبپذیری 9.8 از 10 میباشد و یک نقص اعتبارسنجی نامناسب ورودی است که میتواند برای دستیابی به اجرای کد دلخواه مورد استفاده قرار گیرد. این مورد یک نقص پیش فرض معتبر است به این معنی که میتواند بدون نیاز به اعتبارسنجی کاربر مورد سوءاستفاده قرار گیرد. اما شرکت معقتد است که این آسیبپذیری تنها توسط مهاجمی با امتیازات مدیر قابل بهرهبرداری است.
این نقص، نسخه 2.4.3-p1 و نسخههای قبل از آن همچنین نسخه 2.3.7-p2 و نسخههای قبل از آن مربوط به محصولات Adobe Commerce وMagento Open Source را تحت تأثیر قرار میدهد. Adobe Commerce 2.3.3 و نسخههای قبل از آن آسیبپذیر نیستند.
این یافتهها زمانی بدست آمد که شرکت Sansec -شرکت شناسایی کننده آسیبپذیری و بدافزار تجارت الکترونیک- هفته گذشته یک حمله Magecart را افشا کرد که 500 سایت در حال اجرا بر روی پلتفرم Magento 1 را تحت تأثیر قرار داد. در این حمله یک اسکیمر کارت اعتباری برای دریافت اطلاعات حساس پرداخت طراحی شده بود.
گفته میشود که شرکت ادوبی بروزرسانی و وصلههای خود را برای Magento 1 متوقف کرده است اما هنوز هم بسیاری از پلتفرمهای تجارت الکترونیک به آن متکی هستند. از این رو توصیه میشود نسخههایMagento را به طور مرتب از وصلههای خارجی بروزرسانی کنید.
منبع:
https://gbhackers.com/hackers-injected-credit-card-skimmers-to-500-stores-running-with-magento
- 49