Adobe ha rilasciato un avviso di emergenza domenica per informare gli utenti di Commerce e Magento di una vulnerabilità critica zero-day che è stata sfruttata negli attacchi.
ll difetto, tracciato come CVE-2022-24086 e assegnato un punteggio CVSS di 9.8, è stato descritto come un problema di convalida di input improprio che può portare all’esecuzione di codice arbitrario. Adobe dice che la vulnerabilità può essere sfruttata senza autenticazione.
Il buco di sicurezza colpisce le piattaforme e-commerce Magento open source e Adobe Commerce, in particolare le versioni 2.4.3-p1 e precedenti e 2.3.7-p2 e precedenti. Adobe ha sviluppato delle patch, che sono consegnate come MDVA-43395_EE_2.4.3-p1_v1.
Il gigante del software dice che “CVE-2022-24086 è stato sfruttato in natura in attacchi molto limitati contro i commercianti di Adobe Commerce”.
Non sono state fornite altre informazioni sugli attacchi e Adobe non ha accreditato nessuno per la segnalazione della vulnerabilità.
Adobe ha detto a SecurityWeek che non può condividere ulteriori dettagli sulla vulnerabilità per proteggere la sicurezza e la privacy dei suoi clienti.
L’azienda ha detto che il problema è stato scoperto dal suo team di sicurezza interno. “Il nostro team interno di sicurezza Adobe impiega tecnologie che monitorano regolarmente e ci aiutano a identificare e rispondere quando si verificano problemi“.
Le vulnerabilità del software di e-commerce sono in genere prese di mira negli attacchi di massa. Un esempio recente ha coinvolto più di 500 negozi online alimentati da Magento 1 presi di mira da criminali informatici il cui obiettivo era quello di piantare skimmer web progettati per raccogliere i dati degli utenti.
Gli aggressori hanno sfruttato una combinazione di difetti e hanno fatto leva sul fatto che Magento 1 non riceve più aggiornamenti di sicurezza.
Da quando Adobe ha ucciso Flash, ci sono state solo poche vulnerabilità nei prodotti dell’azienda che sono state sfruttate negli attacchi. Tuttavia, i bug di sicurezza nei prodotti Adobe sono ancora preziosi.
Il mese scorso, Adobe ha patchato le falle di Acrobat e Reader che hanno fatto guadagnare ai ricercatori 150.000 dollari al concorso di hacking cinese Tianfu Cup, che ha avuto luogo nell’ottobre 2021.
