La mise à jour d’urgence de Magento corrige un bug du jour zéro exploité dans les attaques

Critical Magento patch available in emergency update

Adobe a déployé des mises à jour d’urgence pour Adobe Commerce et Magento Open Source afin de corriger une vulnérabilité critique identifiée comme CVE-2022-24086 qui est exploitée à l’état sauvage.

Les détails techniques sur le problème de sécurité ne sont pas encore disponibles, mais Adobe souligne que son exploitation ne nécessite pas d’authentification et a évalué sa gravité à 9,8 sur 10.

Correctif prioritaire

Il est fortement conseillé aux administrateurs de boutiques en ligne exécutant Adobe Commerce ou Magento Open Source versions 2.4.3-p1/2.3.7-p2 et inférieures de traiter en priorité CVE-2022-24086 et d’appliquer la mise à jour dès que possible.

Les sites Web exécutant Adobe Commerce 2.3.3 et versions antérieures ne sont pas concernés par cette faille de sécurité.

Dimanche, Adobe a publié un bulletin de sécurité hors bande avertissant que les acteurs de la menace exploitent CVE-2022-24086 « dans la nature dans des attaques très limitées ciblant les marchands Adobe Commerce ».

Les pirates exploitant avec succès le bug peuvent exécuter du code à distance sur des machines vulnérables sans authentification.

Adobe était au courant de cette faille de gravité critique depuis plus de deux semaines, depuis au moins le 27 janvier, date à laquelle CVE-2022-24086 a été soumis à la base de données CVE (Common Vulnerabilities and Exposures) de MITRE et a reçu un numéro de suivi.

Sansec, une société proposant des services de détection de vulnérabilités et de logiciels malveillants de commerce électronique, souligne que les magasins exécutant Magento 2.3 ou 2.4 devraient installer le logiciel personnalisé correctif d’Adobe immédiatement, « idéalement dans les prochaines heures ».

Pour les magasins utilisant Magento 2 entre 2.3.3 et 2.3.7, l’application du correctif peut être effectuée manuellement, note Sansec, car le processus implique de modifier seulement quelques lignes.

« Si vous utilisez Magento 2.3.3 ou une version inférieure, vous n’êtes pas directement vulnérable. Cependant, Sansec recommande toujours d’implémenter manuellement le correctif donné » – Sansec

La société avertit que le fait de ne pas appliquer le correctif peut avoir de graves conséquences, similaires au bug critique de 2015 Vol à l’étalage Magentodécouvert par des chercheurs en sécurité de la société de cybersécurité Check Point.

À l’époque, l’exploitation a commencé avant même que les détails techniques de Magento Shoplift ne soient rendus publics en avril 2015, avec plus de 100 000 sites Web encore en utilisant une version vulnérable de la plate-forme de commerce électronique des mois plus tard.