Magento brengt nieuwe security patch en release 1.9.2.1 uit
6 augustus 2015
Door Danny
Onlangs zijn er 4 veiligheidslekken in Magento ontdekt en opgelost in een patch SUPEE-6482. De lekken zijn aanwezig in alle versies van Magento (1.4/x – 1.9/x), dus zowel Magento Community als Magento Enterprise shops hebben hiermee te maken. Er zijn nog geen meldingen van aanvallen die deze lekken misbruiken om toegang te krijgen tot de Magento installatie. Wel is het belangrijk om de security patch of de upgrade naar 1.9.2.1 zo snel mogelijk uit te voeren.
Welke lekken zin gedicht?
- Cross-site Scripting/Cache Poisoning [Alleen Magento Enterprice]
- Mogelijkheid tot het vergaren van oa. credit card informatie middel een aangepaste host header icm aangepast HTML en Javascript code.
- Autoloaded File Inclusion in Magento SOAP API
- Afhankelijk van de PHP en server configuratie is het mogelijk toegang te krijgen tot de data middels een API SOAP koppeling.
- XSS in Gift Registry Search [Alleen Magento Enterprice]
- Mogelijkheid tot identiteitsdiefstal in de Gift Registry zoek optie door het aanpassen van de cookie.
- SSRF Vulnerability in WSDL File
- Incorrecte encoding van de API wachtwoord gegevens.
Magento 1.9.2.1 update
Met de komst van de nieuwe Magento security patches is er ook een nieuwe versie beschikbaar gekomen, namelijk Magento 1.9.2.1. Los van bovenstaande issues zijn hier ook nog de andere nodige bugs in opgelost.