Sicherheitspatches: Angreifer können Webseiten mit Magento-Shop kapern

Magento sichert sein Shop-System ab. Dabei schließt der Anbieter zwei als kritisch eingestufte Lücken, über die Angreifer Admin-Sessions übernehmen können.

In Pocket speichern vorlesen Druckansicht 25 Kommentare lesen
Sicherheitspatches: Angreifer können Webseiten mit Magento-Shop kapern
Lesezeit: 2 Min.

Eine aktuelle Patch-Sammlung für Nutzer des Shop-Systems Magento dichtet 20 Schwachstellen ab. Zwei XSS-Lücken stuft der Anbieter mit einem CVSS-v3-Rating von 9,3/10 als kritisch ein. Über die Lücken sollen Angreifer Code aus der Ferne auf Server schmuggeln können und im schlimmsten Fall die Kontrolle über Webseiten erlangen.

Magento versichert, dass bisher noch keine Schwachstelle ausgenutzt wurde. Shop-Betreiber sollten zügig die abgesicherte Version 1.9.2.3 von Magento CE und 1.14.2.3 von Magento EE installieren; alle vorigen Versionen sollen bedroht sein.

Die erste XSS-Lücke sollen Angreifer ausnutzen können, indem sie bei der Kundenregistrierung eines Online-Shops eine E-Mail-Adresse die JavaScript beinhaltet angeben. In diesem Fall prüft das Magento-System die Eingabe nicht ordnungsgemäß und führt den Code mit Admin-Rechten aus, warnt der Anbieter. Darüber könne ein Angreifer eine Admin-Session kapern und den Online-Shop übernehmen.

Über die zweite als kritisch eingestufte XSS-Schwachstelle kann ein Angreifer mittels einem präparierten Kommentar zu einer Bestellung JavaScript in die Datenbank schieben. Der Code wird ausgeführt, wenn ein Admin die Bestellung aufruft, erläutert Magento. Auch an dieser Stelle könne ein Angreifer eine Admin-Session kapern.

Über die weiteren Lücken sollen Angreifer unter anderem Nutzerdaten auslesen und DoS-Attacken ausführen können. Übergriffe sollen hier aber nicht direkt aus der Ferne möglich sein und Angreifer müssen in vielen Fällen Admins, etwa mittels einer Phishing-E-Mail, auf eine gefährliche Webseite locken. (des)