Lỗ hổng CosmicSting ảnh hưởng đến các trang web Adobe Commerce và Magento gần như vẫn chưa được vá, 9 ngày sau khi có bản cập nhật bảo mật. Điều này khiến hàng triệu trang web có nguy cơ bị tấn công nghiêm trọng.
Theo số liệu thống kê của Sansec, khoảng 3/4 trang web sử dụng nền tảng thương mại điện tử bị ảnh hưởng chưa được vá lỗ hổng CosmicSting, dẫn đến nguy cơ bị tấn công thực thể bên ngoài XML (XXE) và thực thi mã từ xa (RCE).
Sansec cho biết: “CosmicSting (mã theo dõi CVE-2024-34102) là lỗi tồi tệ nhất đối với các cửa hàng Magento và Adobe Commerce trong hai năm qua”.
“Lỗ hổng cho phép bất cứ ai đọc các tệp riêng tư (chẳng hạn như những tệp có mật khẩu). Nếu kết hợp với lỗi iconv gần đây trong Linux, nó biến thành cơn ác mộng bảo mật khi cho phép thực thi mã từ xa”.
Lỗ hổng được đánh giá nghiêm trọng (điểm CVSS: 9,8), ảnh hưởng đến các phiên bản:
- Adobe Commerce 2.4.7 trở về trước, bao gồm 2.4.6-p5, 2.4.5-p7, 2.4.4-p8
- Adobe Commerce Extended Support 2.4.3-ext-7 trở về trước, 2.4.2-ext-7 trở về trước, 2.4.1-ext-7 trở về trước, 2.4.0-ext-7 trở về trước, 2.3.7-p4- ext-7 trở về trước.
- Magento Open Source 2.4.7 trở về trước, bao gồm 2.4.6-p5, 2.4.5-p7, 2.4.4-p8
- Adobe Commerce Webhooks Plugin phiên bản 1.2.0 đến 1.4.0
Nhà cung cấp đã phát hành bản vá lỗi cho CVE-2024-34102, quản trị viên nền tảng thương mại điện tử được khuyến cáo cập nhật sớm nhất có thể.
Nguồn: Bleeping Computer