Magento dicht ernstig beveiligingslek in webwinkelsoftware

Er zijn belangrijke beveiligingsupdates voor de populaire webwinkelsoftware Magento uitgekomen die in totaal 34 beveiligingslekken verhelpen, waaronder een ernstige kwetsbaarheid die in bepaalde gevallen het uitvoeren van willekeurige code in het cms en de layout mogelijk maakte.

De ernstige kwetsbaarheid maakte het mogelijk voor een Magento-beheerder met beperkte rechten om kwaadaardige code aan een nieuwe cms-pagina toe te voegen, waardoor willekeurige code kon worden uitgevoerd. Andere lekken maakten het voor een Magento-beheerder met beperkte rechten mogelijk om willekeurige systeembestanden van een Magento-installatie te verwijderen of via de testfunctie willekeurige code op het systeem uit te voeren.

De ergste kwetsbaarheid die door een ‘anonieme aanvaller’ kon worden aangevallen maakte het mogelijk om informatie over bestellingen te achterhalen. Webwinkels krijgen het advies om te updaten naar versie 2.1.9 of 2.0.16 van de software. In de praktijk blijkt echter dat veel webwinkels de updates niet installeren en daardoor worden gehackt en het zo mogelijk voor criminelen maken om creditcardgegevens van klanten te stelen.

Heb je een Magento website? Scan hem dan hier: https://www.magereport.com/

Bron: Security

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *