在Adobe Commerce和Magento平台上发现了另一个关键RCE

Adobe在周四更新了其针对一个影响Adobe Commerce和Magento开源的被积极利用的零日漏洞的建议，以修补一个新发现的漏洞，该漏洞可以被武器化以实现任意代码执行。

追踪号为CVE-2022-24087，问题–；比如CVE-2022-24086–；在CVSS漏洞评分系统中被评为9.8级，与可能导致执行恶意代码的“不当输入验证”缺陷有关。

“我们发现了CVE-2022-24086所需的额外安全保护，并发布了更新版本（CVE-2022-24087），”该公司在修订公告中说。“Adobe不知道有任何针对本更新（CVE-2022-24087）中所述问题的攻击。”

与之前一样，Adobe Commerce和Magento开源版本2.4.3-p1及更早版本和2.3.7-p2及更早版本受CVE-2022-24087的影响，但值得注意的是，版本2.3.0至2.3.3不易受攻击。

“Magento 2发布了一个新补丁[sic]，以减轻预认证的远程代码执行，”安全研究人员Blaklis在推特上写道。Blaklis被认为与Eboda一起发现了该漏洞。“如果您使用第一个补丁进行了修补，这还不足以保证安全。请再次更新！”

随着网络安全公司Positive Technologies披露其能够成功利用CVE-2022-24086从未经身份验证的用户处获得远程代码执行，带外更新也随之到来，因此客户必须迅速采取行动，应用修复程序以防止可能的利用。