image

Magento-webshops kwetsbaar door ernstige beveiligingslekken

vrijdag 16 oktober 2020, 15:37 door Redactie, 5 reacties
Laatst bijgewerkt: 18-10-2020, 09:55

Twee ernstige kwetsbaarheden in de webwinkelsoftware Magento maakt het mogelijk om webshops op afstand over te nemen. Adobe heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. Details over de beveiligingslekken zijn nog niet openbaar gemaakt, behalve dat de eerste kwetsbaarheid een "File Upload Allow List Bypass" betreft waardoor een aanvaller willekeurige code kan uitvoeren.

De tweede kritieke kwetsbaarheid maakt SQL-injection mogelijk, waardoor een aanvaller willekeurige lees- en schrijftoegang tot de database krijgt. Naast deze twee beveiligingslekken verhelpen de Adobe-updates ook zeven andere kwetsbaarheden die minder ernstig van aard zijn, waaronder twee lekken die het mogelijk maken om klantenlijsten en Magento cms-pagina's aan te passen.

Beheerders van een op Magento gebaseerde webshop wordt geadviseerd om te updaten naar Magento Commerce versie 2.3.6 of 2.4.1, of Magento Open Source versie 2.3.6 of 2.4.1. Er zijn op dit moment geen exploits bekend die misbruik van de kwetsbaarheden maken en Adobe verwacht ook niet dat die op korte termijn zullen verschijnen. Beheerders wordt aangeraden om de updates "snel" te installeren, waarbij als voorbeeld binnen dertig dagen wordt gegeven.

Reacties (5)
16-10-2020, 17:48 door Anoniem
Scan uw webshop CMS a.u.b. hier: https://www.magereport.com/scan/?s=
Scan info credits gaan uit naar Willem de G.
(scan website gemaakt met achterliggend Tornado Server headers 4.4.2).

Wederom een php gebaseerd CMS,
dus het blijft vragen om het nodige onderhoud.

waarvan akte,

luntrus
18-10-2020, 09:30 door Anoniem
Bron?
Link Adobe komt op help pagina, niet op de desbetreffende uitleg / fixes.
19-10-2020, 08:43 door Anoniem
Door Anoniem: Bron?
Link Adobe komt op help pagina, niet op de desbetreffende uitleg / fixes.
Link is gefixed bij Adobe.
19-10-2020, 09:20 door Anoniem
Door Anoniem: Scan uw webshop CMS a.u.b. hier: https://www.magereport.com/scan/?s=
Scan info credits gaan uit naar Willem de G.
(scan website gemaakt met achterliggend Tornado Server headers 4.4.2).

Wederom een php gebaseerd CMS,
dus het blijft vragen om het nodige onderhoud.

waarvan akte,

luntrus
Het is geen Microsoft dan mag dit blijkbaar wel: Wederom een php gebaseerd CMS,
19-10-2020, 14:03 door Anoniem
Door Anoniem:
Door Anoniem: Scan uw webshop CMS a.u.b. hier: https://www.magereport.com/scan/?s=
Scan info credits gaan uit naar Willem de G.
(scan website gemaakt met achterliggend Tornado Server headers 4.4.2).

Wederom een php gebaseerd CMS,
dus het blijft vragen om het nodige onderhoud.

waarvan akte,

luntrus
Het is geen Microsoft dan mag dit blijkbaar wel: Wederom een php gebaseerd CMS,
Wat het ook voor software is, ALLES moet onderhouden en gepatcht worden. Het is namelijk door mensen gemaakt en iedereen maakt fouten!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.