Notificación de Vulnerabilidad Zero-day Adobe Commerce y Magento Open Source
Adobe ha publicado actualizaciones de seguridad para sus productos Adobe Commerce y Magento Open Source, estas actualizaciones se enfocan en resolver una vulnerabilidad catalogada como crítica. De acuerdo con lo publicado, la explotación exitosa podría conducir a la ejecución de código arbitrario dentro de los sistemas que utilicen estos productos.
Un atacante podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
Por tanto, se recomienda a los usuarios y administradores a revisar las siguientes afectaciones y aplicar las actualizaciones necesarias:
AFECTACIONES
CVE-2022-24086 [CVSS 9.8] Validación de entrada incorrecta.
El producto recibe entradas o datos, pero no valida o valida de forma errónea que la entrada tiene las propiedades necesarias para procesar los datos de forma segura y correcta, esto podría utilizarse como herramienta para lograr la ejecución de código arbitrario.
Cabe destacar que esta vulnerabilidad se ha catalogado como “una falla pre autenticada” descrito por el sistema de categorías Common Weakness Enumeration (CWE), lo que significa que podría explotarse sin necesidad de credenciales.
Esta reciente falla detectada afecta a las versiones Adobe Commerce 2.4.3-p1 y versiones anteriores y Magento Open Source 2.3.7-p2 y versiones anteriores. A su vez se hace presente que Adobe Commerce 2.3.3 y versiones anteriores no se ven afectadas por esta vulnerabilidad.
Mitigación:
Se recomienda lo siguiente: Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
Fuentes:
