聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
和前不久修复的另外一个已遭0day(CVE-2022-24086)一样,CVE-2022-24087 的CVSS评分为9.8,和可导致恶意代码执行的“输入验证不当”bug 有关。该公司在安全公告中指出,“我们发现需要对 CVE-2022-24086增加更多的安全防护措施,并发布了更新(CVE-2022-24087)。Adobe 未发现在野利用该更新 (CVE-2022-24087) 中解决的任何 exploit。”
和之前一样,Adobe Commerce 和 Magento Open Source 版本 2.4.3-p1 和更早版本以及 2.3.7-p2和更早版本受CVE-2022-24087漏洞影响,不过值得注意的是2.3.0和2.3.3版本不受影响。
与Eboda一起发现该新漏洞的研究员 Blaklis 指出,“已为 Magento 2 发布新补丁,以缓解预认证远程代码执行。如果只是打上第一个补丁,则仍然不够安全。请再次更新!”
网络安全公司 Positive Technologies 披露称,公司研究员能够成功创建 CVE-2022-24086 的可靠 PoC,以未认证用户身份获得远程代码执行权限,因此用户应尽快应用修复方案以阻止可能的利用。
https://thehackernews.com/2022/02/another-critical-rce-discovered-in.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~