Patchday: Adobe schließt kritische Lücken in Magento-Shops
Mehrere Sicherheitsupdates schützen Onlineshops auf Magento-Basis vor möglichen Attacken. Außerdem wurde Adobe Connect abgesichert.
Angreifer könnten mit Adobes Magento-Software erstellte Onlineshops attackieren und Schadcode ausführen. Die Software für Remote-Schulungen Connect ist ebenfalls verwundbar. Updates lösen die Sicherheitsprobleme.
Wie aus einer Warnmeldung von Adobe hervorgeht, ist der Großteil der Magento-Lücken mit dem Bedrohungsgrad „kritisch“ eingestuft. Insgesamt haben die Entwickler zehn Sicherheitslücken geschlossen. Nach erfolgreichen Attacken könnten Angreifer Sicherheitsmechanismen umgehen und Schadcode ausführen. Aufgrund der Einstufung ist davon auszugehen, dass Shops im Anschluss vollständig kompromittiert sind.
Von den Schwachstellen sind alle Plattformen betroffen. Die folgenden Ausgaben sind gegen die Attacken gewappnet: Magento Commerce und Magento Open Source 2.3.7-p1, 2.4.2-p2, 2.4.3.
Remote Code Execution
Zwei Sicherheitslücken (CVE-2021-36062 "mittel", CVE-2021-36063, "mittel") in Adobe Connect können ebenfalls Schlupflöcher für Schadcode sein. Auch hier sind alle Plattformen betroffen. Adobe Connect 11.2.3 ist gegen solche Attacken abgesichert.
(des)
