Des attaquants abusent actuellement d’une faille de sécurité dans les systèmes de boutique Adobe Commerce et Magento Open Source, rapporte Adobe. L’entreprise n’explique pas plus précisément la faille. L’avertissement d’Adobe (CVE-2022-24086, CVSS 9.8, risque critique).

Les versions du logiciel concernées sont Adobe Commerce et Magento Open Source 2.4.3-p1 ainsi que 2.3.7-p2 et les précédentes. Adobe Commerce 2.3.3 et les versions antérieures ne sont pas vulnérables, écrit Adobe dans son message de sécurité. Le fabricant met à disposition la version 2.4.3-p1_v1 pour les deux progiciels sous forme de patch à télécharger.

De nombreux anciens systèmes Magento également compromis

La société de sécurité informatique Sansec a également découvert environ 500 systèmes de boutique Magento infectés par un « web skimmer ». Les cybercriminels manipulent le logiciel de la boutique de manière à pouvoir récupérer les informations de paiement telles que les données des cartes de crédit.

Les pirates auraient exploité une faille de sécurité connue dans le plug-in Quick View pour commettre leurs intrusions. Toutefois, des installations de Magento 1.x ont été la cible de ces attaques par écrémage. Adobe a interrompu le support de Magento 1.x sera déjà arrêtée le 30 juillet 2020. Dans ce cas, les exploitants devront passer aux versions plus récentes. Selon le message de sécurité de Sansec, certains projets fournissent toutefois encore des correctifs pour les anciennes versions.

Comme les failles de sécurité sont activement exploitées, les administrateurs de boutiques en ligne doivent vérifier très rapidement s’ils utilisent une version vulnérable du logiciel et, le cas échéant, installer les correctifs disponibles.