Kritische Schwachstellen in der Magento E-Commerce-Plattform

Wenn Sie einen Online-Shop auf Basis der Magento E-Commerce-Plattform betreiben, ist es eine gute Idee, diese so schnell wie möglich zu aktualisieren. Die neuesten Patches beheben kritische Schwachstellen, die es Angreifern ermöglichen könnten, administrative Konten zu entführen.

Ein Problem wurde von der Web-Sicherheitsfirma Sucuri entdeckt und stammt von der falschen Validierung von E-Mail-Adressen im Kundenregistrierungsformular.

Der Fehler erlaubt a böswilliger Benutzer, der JavaScript-Code in das E-Mail-Feld einfügt, was zu einem sogenannten gespeicherten Cross-Site-Scripting-Angriff (XSS) führt. Der JavaScript-Code wird zusammen mit dem Formular gespeichert und ausgelöst, wenn das Benutzerkonto im Back-End-Bereich der Website angezeigt wird.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Das Problem wurde mit bewertet wichtig, da der Rogue-Code die authentifizierte Sitzung eines Administrators übernehmen oder seinen Browser auffordern kann, eine Rogue-Aktion auf der Website auszuführen, z. B. ein weiteres Administratorkonto mit von Angreifer bereitgestellten Anmeldeinformationen.

Die Sicherheitsanfälligkeit betrifft die Magento Community Edition vor Version 1.9 .2.3 und Magento Enterprise Edition vor Version 1.14.2.3. Magento hat auch letzte Woche ein Patch-Paket mit dem Namen SUPEE-7405 veröffentlicht, das auf ältere Versionen angewendet werden kann.

Das Paket enthält auch Korrekturen für 19 weitere Fehler, einschließlich eines gespeicherten XSS-Problems im Bestellkommentarformular und eines in der Verarbeitung von die HTTP_X_FORWARDED_FOR-Kopfzeile für die IP-Adresse des Kunden. Zu den weiteren behobenen Problemen gehören Informationslecks, CAPTCHA-Umgehungen, siteübergreifende Anfragen für gefälschte Dateien, böswillige Datei-Uploads und Denial-of-Service gegen die Newsletter-Funktion.

Einige dieser Fehler betreffen auch Magento 2.x CE und EE. Version 2.0.1 wurde für beide Editionen veröffentlicht, um sie anzugehen, zusammen mit einigen kritischen gespeicherten XSS-Fehlern, die nur in den Versionen 2.x vorhanden sind.

"Wenn Sie eine anfällige Version von Magento verwenden, update / patch so schnell wie möglich ", sagte Marc-Alexandre Montpas, der Sucuri-Forscher, der einen der gespeicherten XSS-Fehler gefunden hat, in einem Blogpost am Freitag.

Laut dem Unternehmen, das die E-Commerce-Plattform entwickelt, wird Magento von over verwendet 200.000 Unternehmen, darunter viele beliebte Markeninhaber. Eine 2015 Umfrage der Top 1 Million Websites durch den Verkehr festgestellt, dass Magento von rund 30 Prozent ihrer Online-Shops verwendet wird, so dass es die beliebteste E-Commerce-Plattform.

Magento-basierte Websites wurden das Ziel von großen Angriffe vor, so dass sie ein attraktives Ziel für Angreifer darstellen. Im Oktober wurden Tausende von Online-Shops, die die Plattform betrieben, mit dem Neutrino-Exploit-Kit infiziert.