Adobe, Commerce platformundaki çeşitli saldırılarda yararlanılan kritik bir kusuru gidermek için bir acil durum düzeltme eki yayınladı. Bu Pazar, teknoloji devi, güvenlik açığının Adobe Commerce ve Magento Open Source’u etkilediğini ve şirketin tehdit verilerine göre, kusurun “Adobe Commerce’in tüccarları hedef alan çok sınırlı saldırılarda” kullanıldığını söyledi.
CVE-2022-24086 olarak tanımlanan güvenlik açığı, olası maksimum önem puanı olan 10 üzerinden 9,8 CVSS önem derecesi puanı aldı. Güvenlik açığı, Common Weakness Enumeration (CWE) kategori sistemi tarafından bir “ürün girdi veya veri aldığında, ancak girdilerin özelliklere sahip olduğunu doğrulamadığında veya yanlış bir şekilde doğrulamadığında oluşan bir hata” olarak tanımlanan yanlış girdi doğrulaması ile ilgili bir soruna dayanmaktadır. verileri doğru ve güvenli bir şekilde işlemek için gerekli”.
CVE-2022-24086 kusuru, tetiklemek için yönetici ayrıcalıkları gerektirmez. Adobe, kritik ön yetkilendirme hatasının rastgele kod yürütmek için kullanılabileceğini söylüyor.
Ticaret ve Magento etkilendi
Güvenlik açığı, bir acil durum düzeltme eki gerektirecek kadar ciddi olduğundan, şirket teknik ayrıntıları yayınlamadı ve müşterilere yamaları kabul etmeleri için zaman tanıdı ve istismar riskini azalttı. Hata, Adobe Commerce (2.3.3-p1-2.3.7-p2) ve Magento Açık Kaynak (2.4.0-2.4.3-p1) ve önceki sürümleri etkiler.
Adobe yamaları buradan indirilebilir ve manuel olarak uygulanabilir.
Bu ayın başlarında Adobe, Premiere Rush, Illustrator ve Creative Cloud gibi ürünler için güvenlik güncellemeleri yayınladı. Yama serisi, diğer sorunların yanı sıra rastgele kod yürütülmesine, hizmet reddine (DoS) ve ayrıcalık yükselmesine yol açan güvenlik açıklarını ele aldı. Geçen hafta Apple, Apple’ın Safari tarayıcısında rastgele kod yürütmek için kullanılabilecek bir güvenlik açığını ortadan kaldırmak için iOS 15.3.1’de bir yama yayınladı. Şubat ayının Salı Yaması sırasında Microsoft, herkes tarafından bilinen bir sıfır gün güvenlik açığı da dahil olmak üzere 48 güvenlik açığını düzeltti.
Kaynak: ZDNet.com
