Meer dan 200.000 webwinkels die de Magento-webwinkelsoftware gebruiken zijn kwetsbaar door een beveiligingslek waardoor een aanvaller het systeem volledig kan overnemen en een update is nog niet beschikbaar. Dat laat beveiligingsbedrijf DefenseCode in een advisory weten (pdf).

Het bedrijf voerde een audit van de Magento Community Edition uit en vond daarbij een kwetsbaarheid in het uploaden van bestanden waardoor een aanvaller op afstand code kan uitvoeren. Via het lek is het mogelijk om het systeem volledig te compromitteren, waaronder de database met klantgegevens, creditcardnummers en andere betaalgegevens.

Om de kwetsbaarheid uit te buiten is wel enige interactie van webwinkelbeheerder vereist. Een aanvaller moet die namelijk eerst op een link laten klikken zodat er een cross-site request forgery-aanval kan worden uitgevoerd. Via deze aanvalsvector is het vervolgens mogelijk om de kwetsbaarheid uit te buiten die het uitvoeren van willekeurige code mogelijk maakt.

Magento werd afgelopen november ingelicht en bevestigde de kwetsbaarheid. Aangezien er geen update verscheen besloot DefenseCode Magento op 11 april nogmaals te benaderen, maar kreeg geen reactie. Daarop werden gisteren de details van de kwetsbaarheid openbaar gemaakt. Beheerders krijgen het advies om de optie "Add Secret Key to URLs" te gebruiken. Op deze manier kan de primaire aanvalsvector via cross-site request forgery worden voorkomen. Om het uitvoeren van code via het uploaden van bestanden te voorkomen wordt aangeraden om .htaccess-bestanden in bepaalde directories niet toe te staan.