Vulnerabilidad crítica zero-day en Magento bajo explotación activa

Adobe lanzó el domingo parches para contener una vulnerabilidad de seguridad crítica que afecta a sus productos Open Source Magento Commerce que, según afirmaron, se está explotando activamente.

Rastreada como CVE-2022-24086, la deficiencia tiene una puntuación CVSS de 9,8 sobre 10 en el sistema de puntuación de vulnerabilidades y se ha caracterizado como un problema de «validación de entrada incorrecta» que podría convertirse en un arma para lograr la ejecución de código arbitrario.

También es una falla preautenticada, lo que significa que podría explotarse sin necesidad de credenciales. Pero la empresa también señaló que la vulnerabilidad solo puede ser explotada por un atacante con privilegios administrativos.

La falla afecta a Adobe Commerce y Magento Open Source 2.4.3-p1 y versiones anteriores, así como a 2.3.7-p2 y versiones anteriores. Adobe Commerce 2.3.3 y versiones anteriores no son vulnerables.

Magento 0-Day Vulnerability
Imagen vía HackerNews

«Adobe es consciente de que CVE-2022-24086 ha sido explotado de forma salvaje en ataques muy limitados dirigidos a comerciantes de Adobe Commerce», señaló la empresa en un aviso publicado el 13 de febrero de 2022.

Los hallazgos se producen cuando la empresa de detección de vulnerabilidades y malware de comercio electrónico Sansec reveló la semana pasada sobre un ataque de Magecart que comprometió a 500 sitios que ejecutan la plataforma Magento 1 con un skimmer de tarjetas de crédito diseñado para desviar información de pago confidencial.