No final de semana, a Adobe lançou urgentemente um patch para uma vulnerabilidade crítica em dois softwares: Commerce e Magento. Já é explorado ativamente.
O exercício é sempre raro, mas dada a gravidade da falha, a Adobe decidiu rapidamente conectar uma vulnerabilidade crítica. Lançado em 13 de fevereiro, este patch aborda o CVE-2022-24086, que tem uma pontuação de gravidade de 9,8 em 10. A falha afeta dois softwares CMS usados para comércio eletrônico: Commerce e a plataforma de código aberto Magento.
A vulnerabilidade é devido à validação de entrada incorreta. No boletim, a Adobe esclarece que essa é uma técnica usada com frequência para verificar entradas potencialmente prejudiciais e garantir que elas possam ser tratadas com segurança no código ou ao se comunicar com outros componentes. Quando o software não valida corretamente a entrada, um invasor pode criar uma entrada em um formato que o restante do aplicativo não espera. Como resultado, isso pode levar a uma mudança no fluxo de controle ou à execução de código arbitrário.
Um espectro de ataque limitado, mas não deve ser subestimado
A Adobe observa que o CVE-2022-24086 não requer privilégio de administrador, mas requer pré-autenticação (por meio de credenciais). A falha afeta o Adobe Commerce (2.3.3-p1-2.3.7-p2) e Magento Open Source (2.4.0-2.4.3-p1), bem como versões anteriores. Se o editor não forneceu mais informações técnicas sobre esse bug, isso indica que a exploração é usada ativamente por cibercriminosos. Os ataques, no entanto, são “limitados” em ambas as plataformas, diz a Adobe. O fato é que o editor incentiva os clientes a atualizarem seu CMS para corrigir essa falha.