Jetzt patchen: Gefährliche Lücken in Magento erlauben unbefugte Zugriffe
Adobe hat vier Sicherheitslücken in Magento Commerce 2 und Open Source 2 geschlosssen, von denen zwei als kritisch gelten.
(Bild: heise online (Collage))
Das Unternehmen Adobe, zu dem Magento Commerce seit 2018 gehört, hat wichtige Security-Updates für die E-Commerce-Plattform veröffentlicht. Über die vier nun geschlossenen Sicherheitslücken, von denen zwei als "Important" und zwei als "Critical" eingestuft wurden, hätten Angreifer unter bestimmten Voraussetzungen Verifizierungsmechanismen aushebeln und beliebigen Code ausführen können. Anwender sollten die Updates möglichst zeitnah einspielen.
Verwundbare Versionen und verfügbare Updates
Über die Sicherheitslücken angreifbar waren die Magento-Varianten Commerce 2 und Open Source 2, jeweils bis einschließlich Version 2.3.5-p1, für alle verfügbaren Zielplattformen.
Ein Update auf 2.3.5-p2 oder 2.4.0 beseitigt die mindestens teilweise aus der Ferne ausnutzbaren Sicherheitslücken CVE-2020-9689 (Path Traversal-Attacke), CVE-2020-9690 (zeitbasierte Angriffsmöglichkeit), CVE-2020-9691 (DOM-basiertes Cross-Site-Scripting) und CVE-2020-9692 (nicht näher bezeichnete Umgehung von Sicherheitsvorkehrungen).
Weitere Informationen zu den Sicherheitslücken und Updates nennt Adobes Security Advisory:
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(ovw)
