Les installations Adobe Commerce et Magento Open Source doivent être mises à jour suite à la découverte d’une vulnérabilité critique qui a déjà été exploitée dans la nature.

La vulnérabilité – suivie comme CVE-2022-24086 et avec un indice de gravité CVSS de 9,8 – pourrait permettre à des attaquants non authentifiés de parcourir les détails de la carte de crédit et les identifiants de connexion d’un client à partir d’installations non corrigées.

Les versions 2.4.3-p1 et 2.3.7-p2 et antérieures d’Adobe Commerce sont vulnérables, ainsi que les versions 2.4.3-p1 et 2.3.7-p2 et antérieures de Magento Open Source.

Le bogue de sécurité, qui découle d’une mauvaise validation des entrées, permet l’exécution de code à distance (RCE) par un attaquant non authentifié et a été signalé pour la première fois le 27 janvier.

Des experts indépendants en sécurité des paiements ont noté que des mesures avaient été prises pour déployer le correctif plus rapidement que ce ne serait normalement le cas.

Willem de Groot, directeur général et fondateur du spécialiste de la sécurité Magento Sansec, a déclaré La gorgée quotidienne: « Le correctif d’urgence a été publié un dimanche, ce qui est assez inhabituel. Normalement, les nouveaux correctifs nécessitent [developer] agences de travailler 24 heures sur 24 pour les tester et les mettre en œuvre pour tous leurs clients. De plus, Adobe n’a pas encore ajouté le correctif à son référentiel principal Magento sur GitHub. »

Ils ont ajouté : « Selon Adobe, cette vulnérabilité a déjà été exploitée à l’état sauvage dans des attaques très limitées. Cela suggère qu’ils se précipitaient pour obtenir un correctif. »

Lecture écrémée

La version d’Adobe arrive quelques jours seulement après celle de Sansec Découverte d’une violation massive de plus de 500 magasins exécutant le logiciel Magento 1 désormais non pris en charge, avec plus de 350 personnes infectées en une seule journée.

Et en 2015, un grand nombre de sites Web ont été compromis par une vulnérabilité connue sous le nom de Vol à l’étalage Magentoqui permettait à des utilisateurs non authentifiés d’accéder aux pages d’administration du site et d’exploiter certaines pages via une injection SQL.

Adobe a admis que cette dernière vulnérabilité avait également été exploitée à l’état sauvage, mais « dans des attaques très limitées ». Il exhorte les commerçants à appliquer les correctifs immédiatement.

« Sansec n’a pas identifié d’abus actif jusqu’à présent, mais comme la vulnérabilité est de la pire catégorie possible – RCE non autorisé – nous nous attendons à une analyse et une exploitation massives dans les jours qui suivent », a averti de Groot.

« La même chose s’est produite avec la tristement célèbre vulnérabilité Shoplift Magento 1 en 2015. Nous recommandons à tous les commerçants d’implémenter le correctif aujourd’hui. »

Un porte-parole d’Adobe a déclaré que la société n’était pas prête à commenter la vulnérabilité au-delà des informations fournies dans son avis de sécurité.