Adobe 修复Commerce 和 Magento 平台中的又一个严重RCE

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

和前不久修复的另外一个已遭0day（CVE-2022-24086）一样，CVE-2022-24087 的CVSS评分为9.8，和可导致恶意代码执行的“输入验证不当”bug 有关。该公司在安全公告中指出，“我们发现需要对 CVE-2022-24086增加更多的安全防护措施，并发布了更新（CVE-2022-24087）。Adobe 未发现在野利用该更新 (CVE-2022-24087) 中解决的任何 exploit。”

和之前一样，Adobe Commerce 和 Magento Open Source 版本 2.4.3-p1 和更早版本以及 2.3.7-p2和更早版本受CVE-2022-24087漏洞影响，不过值得注意的是2.3.0和2.3.3版本不受影响。

与Eboda一起发现该新漏洞的研究员 Blaklis 指出，“已为 Magento 2 发布新补丁，以缓解预认证远程代码执行。如果只是打上第一个补丁，则仍然不够安全。请再次更新！”

网络安全公司 Positive Technologies 披露称，公司研究员能够成功创建 CVE-2022-24086 的可靠 PoC，以未认证用户身份获得远程代码执行权限，因此用户应尽快应用修复方案以阻止可能的利用。