Adobe ha lanzado un parche de emergencia para abordar un error crítico que se está explotando en la naturaleza.
El 13 de febrero, el gigante tecnológico dijo que la vulnerabilidad afecta a Adobe Commerce y Magento Open Source y, según los datos de amenazas de la empresa, la falla de seguridad se está utilizando como arma «en ataques muy limitados dirigidos a los comerciantes de Adobe Commerce».
Rastreada como CVE-2022-24086, la vulnerabilidad recibió una calificación de gravedad CVSS de 9.8 de 10, la calificación de gravedad máxima posible.
La vulnerabilidad es un problema de validación de entrada incorrecta, descrito por el sistema de categorías Common Weakness Enumeration (CWE) como un error que ocurre cuando un «producto recibe entrada o datos, pero no valida o valida incorrectamente que la entrada tiene las propiedades que son necesarios para procesar los datos de forma segura y correcta».
CVE-2022-24086 no requiere ningún privilegio de administrador para activarse. Adobe dice que el error crítico previo a la autenticación se puede explotar para ejecutar código arbitrario.
Dado que la vulnerabilidad es lo suficientemente grave como para justificar un parche de emergencia, la empresa no ha publicado ningún detalle técnico, lo que da tiempo a los clientes para aceptar las correcciones y mitiga más riesgos de explotación.
El error afecta a Adobe Commerce (2.3.3-p1-2.3.7-p2) y Magento Open Source (2.4.0-2.4.3-p1), así como a versiones anteriores.
Los parches de Adobe se pueden descargar y aplicar manualmente aquí.
A principios de este mes, Adobe emitió actualizaciones de seguridad para productos como Premiere Rush, Illustrator y Creative Cloud. La ronda de parches abordó las vulnerabilidades que conducían a la ejecución de código arbitrario, la denegación de servicio (DoS) y la escalada de privilegios, entre otros problemas.
La semana pasada, Apple lanzó una corrección en iOS 15.3.1 para eliminar una vulnerabilidad en el navegador Safari de Apple que podría explotarse para la ejecución de código arbitrario.
En el martes de parches de febrero, Microsoft resolvió 48 vulnerabilidades, incluida una falla de seguridad de día cero conocida públicamente.
Cobertura anterior y relacionada
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0
