Faille Zero-day : Adobe publie un correctif d’urgence pour Commerce et Magento

by admin
Faille Zero-day : Adobe publie un correctif d'urgence pour Commerce et Magento

Adobe a publié un correctif d’urgence pour remédier à une faille critique exploitée dans différentes attaques perpétrées sur sa plateforme Commerce. Ce dimanche, le géant technologique a déclaré que la vulnérabilité avait un impact sur Adobe Commerce et Magento Open Source et que, selon les données sur les menaces de l’entreprise, la faille de sécurité était utilisée “dans des attaques très limitées visant les commerçants d’Adobe Commerce”.

Repérée sous le nom de CVE-2022-24086, la vulnérabilité a reçu un score de sévérité CVSS de 9,8 sur 10, soit le score de sévérité maximal possible. La vulnérabilité repose sur un problème de validation incorrecte des entrées, décrit par le système de catégories Common Weakness Enumeration (CWE) comme un bogue qui se produit lorsqu’un “produit reçoit des entrées ou des données, mais ne valide pas ou valide incorrectement que les entrées ont les propriétés requises pour traiter les données correctement et en toute sécurité”.

La faille CVE-2022-24086 ne nécessite aucun privilège d’administrateur pour se déclencher. Adobe indique que le bogue critique de pré-auth peut être exploité afin d’exécuter du code arbitraire.

publicité

Commerce et Magento affectés

Comme la vulnérabilité est suffisamment grave pour justifier un correctif d’urgence, la société n’a pas publié de détails techniques, ce qui donne aux clients le temps d’accepter les correctifs et atténue les risques d’exploitation.  La faille affecte Adobe Commerce (2.3.3-p1-2.3.7-p2) et Magento Open Source (2.4.0-2.4.3-p1), ainsi que les versions antérieures.

Les correctifs d’Adobe peuvent être téléchargés et appliqués manuellement ici.

Au début du mois, Adobe a publié des mises à jour de sécurité pour des produits tels que Premiere Rush, Illustrator et Creative Cloud. La série de correctifs s’attaquait aux vulnérabilités conduisant à l’exécution de code arbitraire, au déni de service (DoS) et à l’élévation de privilèges, entre autres problèmes. La semaine dernière, Apple a publié un correctif dans iOS 15.3.1 pour éliminer une vulnérabilité dans le navigateur Safari d’Apple qui pouvait être exploitée pour l’exécution de code arbitraire. Lors du Patch Tuesday de février, Microsoft a corrigé 48 vulnérabilités, dont une faille de sécurité de type “zero-day” publiquement connue. 

Source : ZDNet.com

Leave a Reply

Related Posts

You May Missed

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading