Adobe hat am Donnerstag sein Advisory für einen aktiv ausgenutzten Zero-Day aktualisiert, der Adobe Commerce und Magento Open Source betrifft, um eine neu entdeckte Schwachstelle zu beheben, die zur Ausführung von beliebigem Code genutzt werden kann.
Die Schwachstelle mit der Bezeichnung CVE-2022-24087 wird – wie CVE-2022-24086 – im CVSS-Schwachstellenbewertungssystem mit 9,8 bewertet und betrifft einen Fehler in der „Unzulässigen Eingabevalidierung“, der zur Ausführung von Schadcode führen kann.
„Wir haben zusätzliche Sicherheitsvorkehrungen für CVE-2022-24086 entdeckt und ein Update veröffentlicht, das diese behebt (CVE-2022-24087)“, so das Unternehmen in einem überarbeiteten Bulletin. „Adobe ist nicht bekannt, dass es für die in diesem Update (CVE-2022-24087) behandelte Sicherheitslücke irgendwelche Exploits gibt.
Wie bisher sind Adobe Commerce und Magento Open Source in den Versionen 2.4.3-p1 und früher sowie 2.3.7-p2 und früher von CVE-2022-24087 betroffen, aber die Versionen 2.3.0 bis 2.3.3 sind nicht gefährdet.
„Ein neuer Patch wurde für Magento 2 veröffentlicht, um die vorauthentifizierte Remotecodeausführung zu entschärfen“, twitterte der Sicherheitsforscher Blaklis, der zusammen mit Eboda für die Entdeckung der Schwachstelle verantwortlich ist. „Wenn du mit dem ersten Patch gepatcht hast, ist dies nicht ausreichend, um sicher zu sein. Bitte aktualisiere erneut!“
Der Patch kommt zu einem Zeitpunkt, an dem die Cybersecurity-Firma Positive Technologies bekannt gibt, dass es ihr gelungen ist, einen Exploit für CVE-2022-24086 zu erstellen, mit dem ein nicht authentifizierter Benutzer Remotecode ausführen kann.