Twee ernstige kwetsbaarheden in de webwinkelsoftware Magento maakt het mogelijk om webshops op afstand over te nemen. Adobe heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. Details over de beveiligingslekken zijn nog niet openbaar gemaakt, behalve dat de eerste kwetsbaarheid een “File Upload Allow List Bypass” betreft waardoor een aanvaller willekeurige code kan uitvoeren.

De tweede kritieke kwetsbaarheid maakt SQL-injection mogelijk, waardoor een aanvaller willekeurige lees- en schrijftoegang tot de database krijgt. Naast deze twee beveiligingslekken verhelpen de Adobe-updates ook zeven andere kwetsbaarheden die minder ernstig van aard zijn, waaronder twee lekken die het mogelijk maken om klantenlijsten en Magento cms-pagina’s aan te passen.

Beheerders van een op Magento gebaseerde webshop wordt geadviseerd om te updaten naar Magento Commerce versie 2.3.6 of 2.4.1, of Magento Open Source versie 2.3.6 of 2.4.1. Er zijn op dit moment geen exploits bekend die misbruik van de kwetsbaarheden maken en Adobe verwacht ook niet dat die op korte termijn zullen verschijnen. Beheerders wordt aangeraden om de updates “snel” te installeren, waarbij als voorbeeld binnen dertig dagen wordt gegeven.

Source