image

Webwinkels kwetsbaar door kritiek lek in Adobe Commerce en Magento

woensdag 13 april 2022, 15:36 door Redactie, 5 reacties

Een kritieke kwetsbaarheid in de populaire webwinkelsoftware Adobe Commerce en Magento Open Source maakt het mogelijk voor aanvallers om webshops op afstand over te nemen. Adobe heeft beveiligingsupdates uitgebracht en roept webwinkels op om die snel te installeren, waarbij als suggestie binnen 72 uur wordt aangeraden.

Honderdduizenden webshops draaien op Adobe Commerce, dat eerder nog bekendstond als Magento Commerce, en Magento Open Source. De afgelopen jaren is het geregeld voorgekomen dat webshops zijn gecompromitteerd via bekende kwetsbaarheden in beide producten. Het beveiligingslek waarvoor Adobe nu waarschuwt, CVE-2022-24093, wordt veroorzaakt door het niet goed valideren van gebruikersinvoer en maakt remote code execution mogelijk. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.1.

Adobe heeft de beveiligingsupdates de hoogste prioriteit gegeven. Een dergelijk prioritering wordt alleen gegeven aan aangevallen kwetsbaarheden of beveiligingslekken die een grotere kans hebben om te worden misbruikt. Webwinkels wordt geadviseerd de update "zo snel mogelijk" te installeren, waarbij Adobe als voorbeeld binnen 72 uur geeft.

Reacties (5)
13-04-2022, 17:14 door Anoniem
Ik heb een geprobeerd in een discussie met de adobe magento aan te geven dat Magento niet opensource is omdat het een onderdeel bevat dat niet opensource is, namelijk elastic search. Blijkbaar hanteren ze die naam dus nog steeds om zieltjes te werven.

Gewoon magento 1.9 gebruiken, dat is veel veiliger, sneller en in 85% van de gevallen waarschijnlijk voldoende.
13-04-2022, 20:25 door Anoniem
Even scannen hier: https://www.magereport.com
Dankzij GWillem weten we zo de security status van de webshop site in kwestie.
luntrus
14-04-2022, 07:33 door Anoniem
Door Anoniem: Ik heb een geprobeerd in een discussie met de adobe magento aan te geven dat Magento niet opensource is omdat het een onderdeel bevat dat niet opensource is, namelijk elastic search. Blijkbaar hanteren ze die naam dus nog steeds om zieltjes te werven.

Elastic Search is wel degelijk open-source: https://github.com/elastic/elasticsearch

En blijven hangen op een end-of-life product (1.9) lijkt mij geen verstandig idee..
14-04-2022, 14:08 door Anoniem
Niet verrassend, een grote rommel die code base.
14-04-2022, 14:09 door Anoniem
Elastic is gewoon open source?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.