Nueva falla RCE agregada a Adobe Commerce, aviso de seguridad de Magento

Adobe ha actualizado su aviso sobre una vulnerabilidad crítica explotada activamente en las plataformas de código abierto de Magento y Commerce para incluir otro error de RCE.

El gigante tecnológico publicó revisiones al aviso el 17 de febrero.

Adobe emitió originalmente un parche fuera de banda el 13 de febrero para resolver CVE-2022-24086, una vulnerabilidad crítica previa a la autenticación que los atacantes pueden explotar para ejecutar código arbitrario de forma remota.

CVE-2022-24086 recibió una puntuación de gravedad CVSS de 9,8. Adobe dijo que la falla de seguridad estaba siendo explotada activamente «en ataques muy limitados dirigidos a los comerciantes de Adobe Commerce».

Ahora, Adobe ha agregado una vulnerabilidad adicional al aviso, CVE-2022-24087.

«Descubrimos protecciones de seguridad adicionales necesarias para CVE-2022-24086 y lanzamos una actualización para abordarlas (CVE-2022-24087)», dijo Adobe.

La vulnerabilidad también recibió una puntuación CVSS de 9.8 e impacta a los mismos productos de la misma manera.

Las fallas de seguridad no requieren ningún privilegio administrativo para activarse y ambas se describen como errores de validación de entrada inadecuados que conducen a la ejecución remota de código (RCE).

Dado que se está abusando de CVE-2022-24086, Adobe no ha publicado más detalles técnicos. Sin embargo, los investigadores de seguridad cibernética del Equipo Ofensivo de Tecnologías Positivas dicen que ha sido capaz para reproducir la vulnerabilidad.

Adobe Commerce y Magento Open Source 2.3.3-p1 – 2.3.7-p2 y 2.4.0 – 2.4.3-p1 se ven afectados. Sin embargo, las versiones 2.3.0 a 2.3.3 no se ven afectadas por las vulnerabilidades, según la empresa.

Adobe ha proporcionado una guía para que los usuarios instalen manualmente los parches de seguridad necesarios.

Investigadores Éboda y Blaklis fueron acreditados con el descubrimiento de CVE-2022-24087. En un tuitBlaklis dijo que el primer parche para resolver CVE-2022-24086 «no es suficiente» y ha instado a los usuarios de Magento & Commerce a aplicar las nuevas correcciones.

Cobertura anterior y relacionada


¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0


Deja un comentario