Adobe a déployé dimanche des correctifs pour contenir une vulnérabilité de sécurité critique affectant ses produits Commerce et Magento Open Source qui, selon lui, est activement exploitée dans la nature.

Suivi comme CVE-2022-24086la lacune a un score CVSS de 9,8 sur 10 sur le système de notation des vulnérabilités et a été qualifiée de « mauvaise validation des entrées » problème qui pourrait être militarisé pour obtenir l’exécution de code arbitraire.

Il s’agit également d’une faille pré-authentifiée, ce qui signifie qu’elle pourrait être exploitée sans nécessiter d’informations d’identification. Mais la société basée en Californie a également souligné que la vulnérabilité n’est exploitable que par un attaquant disposant de privilèges administratifs.

La faille affecte Adobe Commerce et Magento Open Source 2.4.3-p1 et versions antérieures ainsi que 2.3.7-p2 et versions antérieures. Adobe Commerce 2.3.3 et les versions antérieures ne sont pas vulnérables.

« Adobe est conscient que CVE-2022-24086 a été exploité dans la nature dans des attaques très limitées ciblant les marchands Adobe Commerce », a noté la société dans un avis publié le 13 février 2022.

Les découvertes proviennent de la société de détection de logiciels malveillants et de vulnérabilités de commerce électronique Sansec divulgué la semaine dernière à propos d’une attaque Magecart qui a compromis 500 sites exécutant la plate-forme Magento 1 avec un écumeur de carte de crédit conçu pour siphonner les informations de paiement sensibles.