פגיעות אבטחה המכונה בשם 'CosmicSting' המשפיעה על אתרי Adobe Commerce ומג'נטו, נותרה ברובה ללא תיקון גם תשעה ימים לאחר שחרור עדכון אבטחה זמין – מה שמותיר מיליוני אתרים חשופים למתקפות סייבר הרסניות. על פי הנתונים הסטטיסטיים של חברת Sansec, כשלושה מתוך ארבעה אתרים המשתמשים בפלטפורמות המסחר האלקטרוני המושפעות לא תוקנו נגד CosmicSting, מה שמעמיד אותם בסיכון של הזרקת XML והפעלת קוד זדוני מרחוק (RCE). לפי Sansec, פגיעות CosmicSting הינה הקשה ביותר אשר פגעה בחנויות Magento ו- Adobe Commerce מזה שנתיים.
פגיעות האבטחה מאפשרת לכל אחד לקרוא קבצים פרטיים (כגון קבצים בעלי סיסמאות). עם זאת, בשילוב עם באג ה- ikonv בלינוקס, הופכת פגיעות CosmicSting לסיוט אבטחה של ביצוע קוד מרחוק. הפגם, המדורג קריטי (ציון CVSS: 9.8), משפיע על גרסאות המוצר הבאות: Adobe Commerce 2.4.7 ואילך, כולל 2.4.6-p5, 2.4.5-p7, 2.4.4-p8; Adobe Commerce Extended Support 2.4.3-ext-7 ומעלה, 2.4.2-ext-7 ומעלה, 2.4.1-ext-7 ומעלה, 2.4.0-ext-7 ומעלה, 2.3.7-p4- ext-7 ומעלה; Magento קוד פתוח 2.4.7 ומעלה, כולל 2.4.6-p5, 2.4.5-p7, 2.4.4-p8; Adobe Commerce Webhooks Plugin גרסאות 1.2.0 עד 1.4.0.
Sansec ממליצה למנהלי אתרים לעבור למצב 'דיווח בלבד' לפני התקנת עדכון האבטחה כדי למנוע בעיה העלולה לשבש את פונקציונליות התשלום.
