Magento-Update behebt kritische XSS-Fehler

[Klarstellungen auf Anfälligkeitsausnutzung]

Die Kosten für Ransomware-Angriffe: 1 Milliarde US-Dollar in diesem Jahr, Chrome zu starten Etikettierung HTTP-Verbindungen als nicht sicher, das Hyperledger-Projekt wächst wie gangbusters, Jetzt können Sie einen USB-Stick, der alles in seinem Weg zerstört kaufen

Magento hat neue Sicherheits-Patches veröffentlicht, die für eine Reihe von kritischen XSS-Schwachstellen entwickelt wurden.

In einem Update letzte Woche, das Content-Management-System veröffentlicht ein Bündel von neuen Sicherheits-Updates, die Patches für zwei kritische Fragen enthalten.

Die gespeicherten Cross-Site-Scripting- (XSS) -Fehler sind gefährlich, da sie Angreifern erlauben, Magento-basierte Webseiten zu entführen, Benutzerberechtigungen zu steigern, Clientdaten zu stehlen und die Website über Administrator-Accounts zu steuern.

Wie Magento eine E-Commerce-Management-Plattform ist, kann dies auch den Diebstahl von sensiblen Kundendaten, die zu Themen wie Identitätsdiebstahl führen können.

Die erste Anfälligkeit, die fast alle Installationen von Magento CE 1.9.2.3 und darunter, sowie Magento EE 1.14.2.3 und früheren Versionen betrifft, ist eine Sicherheitsanfälligkeit, die von Angreifern ausgenutzt werden kann.

Eine E-Mail-Adresse, die Teil des Kundenkontos ist, kann missbraucht werden, um böswilligen Code einzufügen. Der Code wird dann im Admin-Kontext ausgeführt, wenn die Auftragsinformationen im Magento-Backend angezeigt werden, was möglicherweise zu einer Übernahme des Kontos führt.

Cyber-Sicherheit Firma Sucuri sagt

Der zweite Fehler, auch kritisch, wurde in den Kommentaren Abschnitten des Magento CMS entdeckt. Gemäß der E-Commerce-Plattform kann eine “speziell gestaltete Anfrage”, die auf dem PayFlow Pro Zahlungsmodul basiert, an eine Bestellung angehängt werden.

Port Fail VPN-Sicherheitsfehler macht Ihre echte IP-Adresse aus, Händler schlagen Volkswagen mit Sammelklagen über Emissionsskandale, Bug-Bounties: Welche Unternehmen bieten Forschern Bargeld? Ihr Unternehmen hat eine Datenverletzung erlitten. Nun, was ?, 10 Dinge, die Sie nicht über die Dark Web kennen

Da Magento – einmal mehr – die Anfrage nicht ordnungsgemäß filtert, kann der JavaScript-Code dann möglicherweise in der Magento-Datenbank gespeichert werden. Wenn betrachtet serverseitig, wenn ein Admin einen Auftrag schaut, kann dieser Code dann ausführen und auch zum Session-Hijacking führen.

Im neuesten Sicherheitsupdate behebt Magento auch Probleme wie RSS-basierte Informationslecks, Schwachstellen für Brute-Force-Angriffe, einen Mangel an Formularschutz auf der Admin-Login-Seite, die Angriffe von Anfragenfälschungen und ein Denial-of-Service-Problem bei der E-Mail-Zustellung ermöglichten andere.

Um Webseiten vor Ausbeutung zu schützen, sollten Webmaster so schnell wie möglich das neueste Patchbundle SUPEE-7405 anwenden. Das neueste Update löst das Problem für Versionen von Magento 1.14.1 und 1.9.1 und früher, während Probleme, die die Versionen 1.14.2.3 und 1.9.2.3 beeinträchtigen, bereits gelöst wurden.

Im September letzten Jahres entdeckten Forscher eine Phishing-Kampagne, die gezielt und geschafft, Tausende von WordPress-Websites mit dem Nuclear Exploit Kit zu infizieren.

Innovation, M2M-Markt springt zurück in Brasilien, Sicherheit, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer jetzt zu aktualisieren kritische Sicherheitslücken, Sicherheit, White House ernennt erste Bundesoberhäuptling Sicherheitsbeauftragter

Lesen Sie weiter: Top-Picks

? M2M Markt springt zurück in Brasilien

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren

White House ernennt ersten Chief Information Security Officer