Obs! Mycket farligt säkerhetshål i Magento: ”Lätt att utnyttja”

Uppdatera omedelbart.

Ett nytt säkerhetshål i Magento har uppdagats och för den delen också patchats, av det Adobe-ägda företaget bakom e-handelsplattformen. Patchen, programkoden som fixar buggen, släpptes i förra veckan av Magento och har nu analyserats av bland annat säkerhetsföretaget Sucuri.

Säkerhetshålet ska gälla i princip alla versioner innan dessa:

Annons
Annons
  • Magento Commerce 1.14.4.1
  • Magento Open Source 1.9.4.1
  • Magento 2.1.17
  • Magento 2.2.8
  • Magento 2.3.1

Det betyder alltså att väldigt många e-handelssajter är påverkade.

Lätt att hacka sig in

Alla som driver en e-handel på Magento uppmanas nu att snabbt applicera fixen som stänger säkerhetshålet. Det ska nämligen vara mycket enkelt att utnyttja svagheten.

- Sårbarheten är väldigt lätt att utnyttja, och vi uppmanar alla Magento-webbplatsägare att uppdatera till dessa nyligen patchade versioner för att skydda sina e-handelswebbplatser, skriver säkerhetsanalytikern Marc-Alexandre Montpas.

Kod redan publicerad

Säkerhetshålet i fråga är speciellt i att det inte kräver någon form av privilegier eller användarrättigheter. Vem som helst kan alltså ta sig in i systemet, med lite tekniskt kunnande, och ladda ner information som lagras i databasen.

Efter att Sucuri analyserat patchen så kunde de snabbt skapa ett verktyg för att framgångsrikt komma in i en Magento-webbplats, som inte patchats. Och under fredagen publicerades färdig kod, av en annan aktör, för att kunna utnyttja säkerhetshålet.

Kan automatiseras

Problemet är att detta nu kan automatiseras i stor skala. Det kan exempelvis skapas botar som installerar otrevliga saker i kassorna på hundratusentals e-handelsbutiker som kör Magento.

- Antalet aktiva installationer, hur enkelt säkerhetshålet är att utnyttja och effekterna av en lyckad attack är det som gör denna sårbarhet särskilt farlig, skriver Marc-Alexandre Montpas.

Sucuri uppmanar alla Magento-användare att omedelbart uppdatera till den senaste versionen av e-handelsplattformen.

Annons
Annons

Här finns mer teknisk information hos Magento.

Annons

Prenumerera

Du missar väl inte vårt nyhetsbrev E-handelsnytt?

Tack!