Adobe ha lanzado parches de seguridad para una vulnerabilidad crítica de día cero (0-day) en sus productos Commerce y Magento, identificada como CVE-2022-24086 que permitiría ejecución remota de código (RCE).
Dicha vulnerabilidad de severidad critica, posee una puntuación de 9.8. Ésta se debe a una incorrecta validación de entrada (input) de una función desconocida en ambos productos que es explotada por una combinación de inyección SQL e inyección de objetos PHP. Un atacante podría aprovechar esta vulnerabilidad para realizar ejecución remota de código (RCE) en el dispositivo vulnerable.
Las versiones afectadas por esta vulnerabilidad son:
- Adobe Commerce: 2.4.3-p1 y anteriores (en todas sus plataformas), y 2.3.7-p2 y anteriores (en todas sus plataformas). La versión 2.3.3 y anteriores no son vulnerables.
- Magento Open Source: 2.4.3-p1 y anteriores (en todas sus plataformas), y 2.3.7-p2 y anteriores (en todas sus plataformas).
Recomendamos instalar las actualizaciones correspondientes provistas por Adobe en el siguiente enlace:
Referencias:
- https://helpx.adobe.com/security/products/magento/apsb22-12.html
- https://thehackernews.com/2022/02/critical-magento-0-day-vulnerability.html
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2022-24086&scoretype=cvssv2
- https://securityaffairs.co/wordpress/127999/hacking/cve-2022-24086-zero-day.html?utm_source=rss&utm_medium=rss&utm_campaign=cve-2022-24086-zero-day