Een beveiligingslek in webwinkelsoftware Magento en Adobe Commerce maakt remote code execution en het kapen van accounts mogelijk. Adobe heeft de kwetsbaarheid alleen verholpen in een pre-release versie van de software. Via het beveiligingslek in de REST API van de webwinkelsoftware kan een ongeauthenticeerde aanvaller uitvoerbare bestanden naar kwetsbare webshops uploaden.

Alle versies van Magento en Adobe Commerce tot en met versie 2.4.9-alpha2 bevatten de "unrestricted file upload" kwetsbaarheid. Daarnaast zijn alle webshops die gebruikmaken van Apache-webserver voor versie 2.3.5 of een aangepaste webserverconfiguratie kwetsbaar voor stored cross-site scripting, waardoor een aanvaller accounts kan overnemen. In het geval van een overgenomen admin-account zou een aanvaller zo toegang tot de webshop kunnen krijgen.

Het onderliggende probleem is verholpen in Magento en Adobe Commerce versie 2.4.9-alpha3+, maar voor de productieversies waar veel webwinkels op draaien is nog geen update beschikbaar, zo meldt securitybedrijf Sansec. Het securitybedrijf is nog niet bekend met actief misbruik van het probleem, maar stelt dat exploits al wel rondgaan en het een kwestie van tijd is voordat geautomatiseerde aanvallen plaatsvinden.

Adobe biedt wel een webserverconfiguratie waarmee de impact van de kwetsbaarheid grotendeels wordt beperkt, maar volgens het securitybedrijf maken de meeste webwinkels gebruik van een aangepaste configuratie van hun hostingprovider. Webshops worden opgeroepen om toegang tot de upload directory te beperken. Ook moet worden gecontroleerd of de webserver alle toegang tot pub/media/custom_options/ blokkeert.