zurück zum Artikel

Angreifer könnten Onlineshops auf Magento-Basis attackieren und im schlimmsten Fall komplett übernehmen.

Admins, die das Onlineshop-System Magento einsetzen, sollten ihre Websites aktualisieren. Das System ist verwundbar und Angreifer könnten Schadcode ausführen. Abgesicherte Versionen schaffen Abhilfe.

Einer Warnmeldung von Adobe zufolge [1] sind konkret Magento Commerce 1 bis einschließlich Version 1.14.4.5 und Magento Open Source 1 bis einschließlich Ausgabe 1.9.4.5 angreifbar. Magento Commerce und Magento Open Source sind nicht gefährdet.

Schadcode-Attacken

Der Bedrohungsgrad von der Sicherheitslücke mit der Kennung CVE-2020-9664 ist als "kritisch" eingestuft. Hier könnten Angreifer auf nicht näher beschriebenem Weg Schadcode ausführen. Der Sicherheitspatch für die zweite Schwachstelle (CVE-2020-9665) ist als "wichtig" gekennzeichnet. Nach einer erfolgreichen Attacke könnten Angreifer unrechtmäßig auf Daten zugreifen. Für beide Attacken sind Admin-Rechte vonnöten.

Abgesichert sind die Versionen Magento Commerce 1 SUPEE-11346 und Magento Open Source 1 SUPEE-11346. Adobe rät Admins zu einer zügigen Installation der Sicherheitsupdates. Die Entwickler weisen darauf hin, dass der Support für Magento Commerce 1.14 und Magento Open Source 1 im Juni 2020 endet. Das sind demzufolge die letzten Sicherheitsupdates für die Shopsysteme. (des [2])

URL dieses Artikels:
https://www.heise.de/-4793608

Links in diesem Artikel:
[1] https://helpx.adobe.com/security/products/magento/apsb20-41.html
[2] mailto:des@heise.de

Copyright © 2020 Heise Medien