بنابر اظهار محققان امنیت سایبری، 5 درصد از فروشگاههای Adobe Commerce و Magento توسط عوامل مخرب با سوء استفاده از یک آسیبپذیری امنیتی به نام CosmicSting هک شدهاند.
شرکت امنیتی هلندی Sansec که CosmicSting را به عنوان بدترین نقصی که در دو سال اخیر در فروشگاههای Magento و Adobe Commerce یافت شده، توصیف کرده است. به گفته Sansec: فروشگاههای آنلاین Adobe Commerce و Magento با نرخ هشداردهندهای هدف حملات «CosmicSting» قرار گرفتند و عوامل تهدید تقریباً 5 درصد از فروشگاهها را هک کردند.
آسیبپذیری CosmicSting با شناسه CVE-2024-34102 (امتیاز: 9.8) یک نقص حیاتی افشای اطلاعات است و هنگامی که با نقص امنیتی CVE-2024-2961 در عملکرد iconv glibc زنجیر شود، مهاجم میتواند به اجرای کد از راه دور در سرور مورد نظر دست یابد. این نقص امنیتی که توسط Adobe در ژوئن 2024 وصله شده، بر محصولات زیر تأثیر میگذارد:
- Adobe Commerce 2.4.7 و نسخههای قبلی، از جمله 2.4.6-p5، 2.4.5-p7، 2.4.4-p8
- Adobe Commerce Extended Support 2.4.3-ext-7 و قبل از آن، 2.4.2-ext-7 و قبل از آن، 2.4.1-ext-7 و قبل از آن، 2.4.0-ext-7 و قبل از آن، 2.3.7-p4- ext-7 و قبل از آن.
- Magento Open Source 2.4.7 و نسخههای قبلی، از جمله 2.4.6-p5، 2.4.5-p7، 2.4.4-p8
- پلاگین Adobe Commerce Webhooks نسخه 1.2.0 تا 1.4.0
https://thehackernews.com/2024/10/alert-adobe-commerce-and-magento-stores.html