Se ha notificado de una nueva campaña de ataques que explota activamente una vulnerabilidad de ejecución remota de código (RCE) en Magento 2, que ya había sido publicada anteriormente, identificada como CVE-2022-24086. La misma con puntuación asignada de 9.8, cuenta con PoCs publicados en Internet.
Adobe ya había lanzado en febrero una actualización de seguridad para mitigar dicha vulnerabilidad.
Los productos afectados son:
- Adobe Commerce, versión 2.4.3-p1 y anteriores.
- Adobe Commerce, versión 2.3.7-p2 y anteriores.
- Magento Open Source, versión 2.4.3-p1 y anteriores.
- Magento Open Source, versión 2.3.7-p2 y anteriores.
Adicionalmente, hemos actualizado el boletín con la explicación detallada de las vulnerabilidades y las recomendaciones.
Referencias:
- https://www.cert.gov.py/wp-content/uploads/2022/02/BOL-CERT-PY-2022-09_Vulnerabilidad_RCE_en_Adobe_Commerce_y_Magento.pdf
- https://www.incibe-cert.es/alerta-temprana/avisos-sci/divulgacion-informacion-productos-bosch
- https://nvd.nist.gov/vuln/detail/CVE-2022-24086
- https://psirt.bosch.com/security-advisories/bosch-sa-464066-bt.html