Namun bug zero-day lainnya telah ditemukan di Magento Open Source dan platform Adobe Commerce, sementara para peneliti telah membuat eksploitasi proof-of-concept (PoC) yang berfungsi untuk kerentanan CVE-2022-24086 yang baru-baru ini ditambal yang berada di bawah serangan aktif dan memaksa Adobe untuk mengeluarkan patch darurat akhir pekan lalu.
Attackers dapat menggunakan salah satu eksploit untuk mencapai eksekusi kode jarak jauh (RCE) dari pengguna yang tidak diautentikasi.
Cacat baru, yang dirinci pada hari Kamis, memiliki tingkat keparahan yang sama dengan pendahulunya, yang Adobe ditambal pada 13 Februari. Dilacak sebagai CVE-2022-24087 dan juga diberi peringkat 9,8 pada sistem skor kerentanan CVSS.
Klik untuk Mendaftar GRATIS
Keduanya adalah masalah validasi input yang tidak tepat. Pada hari Kamis, Adobe memperbarui sarannya untuk CVE-2022-24086 untuk menambahkan detail untuk CVE-2022-24087, yang digambarkan sebagai peningkatan kerentanan hak istimewa di Azure IoT CLI extension.
“Kami telah menemukan perlindungan keamanan tambahan yang diperlukan untuk CVE -2022-24086 dan telah merilis pembaruan untuk mengatasinya (CVE-2022-24087),” kata Adobe dalam buletin yang direvisi.
Tidak Ada Serangan Aktif untuk Cacat Baru
Sementara perusahaan menyadari “serangan yang sangat terbatas” pada pedagang Adobe Commerce yang telah menargetkan cacat CVE-2022-24086, perusahaan mengatakan bahwa mereka tidak mengetahui adanya eksploitasi di alam liar untuk CVE-2022-24087.
Peneliti Teknologi Positif mengatakan pada hari Kamis bahwa mereka telah dapat mereproduksi kerentanan CVE-2022-24086 dan telah membuat exploit.
🔥 Kami telah mereproduksi kerentanan Validasi Input Tidak Tepat CVE-2022-24086 baru di Magento Open Source dan Adobe Commerce.
Eksploitasi yang berhasil dapat menyebabkan RCE dari yang tidak diautentikasi pengguna. pic.twitter.com/QFXd7M9VVO
— PT SWARM (@ptswarm) 17 Februari 2022
Kedua kerentanan mempengaruhi Adobe Commerce dan Magento Open Source 2.3.3-p1 – 2.3.7-p2, dan 2.4.0 – 2.4.3-p1. Namun, versi 2.3.0 hingga 2.3.3 tidak terpengaruh, kata Adobe.
Perusahaan telah menyediakan panduan bagi pengguna untuk menginstal patch keamanan secara manual.
Researchers Eboda dan Blaklis dikreditkan dengan penemuan CVE-2022-24087. Blaklis mengatakan dalam tweet bahwa patch pertama untuk menyelesaikan CVE-2022-24086 adalah “TIDAK CUKUP” agar aman, mendesak pengguna Magento & Commerce untuk memperbarui lagi.
Patch baru telah diterbitkan untuk Magento 2, untuk mengurangi pra-otentikasi eksekusi kode jarak jauh. Jika Anda menambal dengan tambalan pertama, INI TIDAK CUKUP untuk aman. Harap perbarui lagi!https://t.co/vtYj9Ic6ds@ptswarm (karena Anda juga memiliki PoC!)#magento
— Blaklis (@Blaklis_) 17 Februari , 2022
Bergabunglah dengan Threatpost pada Rab. 23 Februari pukul 14:00 ET untuk diskusi meja bundar LANGSUNG “Rahasia Menjaga Rahasia,” disponsori oleh Keeper Security, berfokus pada cara menemukan dan mengunci data paling sensitif organisasi Anda. Zane Bond dengan Keeper Security akan bergabung dengan Becky Bracken dari Threatpost untuk menawarkan langkah nyata untuk melindungi informasi penting organisasi Anda di cloud, saat transit, dan di penyimpanan. DAFTAR SEKARANG dan silakan Tweet pertanyaan Anda sebelumnya @Threatpost agar dapat disertakan dalam diskusi.
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web