活跃攻击下的关键Magento 0天漏洞

Adobe周日发布了补丁，以包含一个严重的安全漏洞，该漏洞会影响其商业和Magento开源产品，Adobe称该产品正在被广泛利用。

该缺陷被追踪为CVE-2022-24086，漏洞评分系统的CVSS评分为9.8分（满分为10分），并被描述为“不正确的输入验证”问题，可将其武器化以实现任意代码执行。

这也是一个预认证的缺陷，意味着可以在不需要任何凭据的情况下利用它。但这家总部位于加利福尼亚州的公司也指出，只有拥有管理权限的攻击者才能利用该漏洞。

该漏洞会影响Adobe Commerce和Magento开源2.4.3-p1及更早版本，以及2.3.7-p2及更早版本。Adobe Commerce 2.3.3及更低版本不易受攻击。

“Adobe知道CVE-2022-24086在针对Adobe Commerce商户的非常有限的攻击中被野生利用，”该公司在2022年2月13日发布的一份公告中指出。

这些发现是在电子商务恶意软件和漏洞检测公司Sansec上周披露一次Magecart攻击时发布的。该攻击利用一个信用卡撇取器窃取敏感支付信息，破坏了运行Magento 1平台的500个网站。