Sicherheitspatches für Magento Shops gegen 20 Lücken

MagentoEine aktuelle Sammlung von Patches für Nutzer des Shop-Systems Magento dichtet 20 Schwachstellen in der Software ab. Zwei davon sind XSS-Lücken (Cross Site Scripting), die der Hersteller als kritisch einstuft. Über diese Lücken sollen Angreifer Schadcode online auf die Server übertragen und im schlimmsten Fall die Kontrolle über Internetseiten erlangen können.

Allerdings versichert Magento, dass bis jetzt noch keine der Schwachstellen ausgenutzt wurde. Betreiber von Magento-Shops sollten zügig die abgesicherte Version 1.9.2.3 von Magento CE bzw. die Version 1.14.2.3 von Magento EE installieren, denn alle vorherigen Versionen sollen gefährdet sein.

Die XSS-Lücken im Detail

Die erste der XSS-Lücken sollen Angreifer nutzen können, indem sie bei der Kundenregistrierung eines Online-Shops eine Email-Adresse angeben, die JavaScript beinhaltet.

Dabei prüft das Magento-System die Eingabe nicht auf Plausibilität und führt den Code mit Admin-Rechten aus, bestätigt der Hersteller. Ein Angreifer könne darüber hinaus eine Admin-Session kapern und damit den Online-Shop komplett übernehmen.

Über die zweite der kritischen XSS-Schwachstellen kann ein Angreifer mit einem präparierten Kommentar zu einer Bestellung der Datenbank JavaScript unterjubeln. Dieser Code wird ausgeführt, sobald ein Admin die Bestellung aufruft, bestätigt Magento. Auch über diese Lücke könne ein Angreifer Admin-Sessions kapern.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, News, Programmierung, Seitenerstellung, Sicherheit, Tipps und Tricks abgelegt und mit , , , , , , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.