Beveiligingslek in Magento-webwinkels maakt remote code execution mogelijk

In dit artikel:

Een kwetsbaarheid in de REST API van webwinkelsoftware Magento en Adobe Commerce maakt het voor een ongeauthenticeerde aanvaller mogelijk uitvoerbare bestanden naar kwetsbare shops te uploaden, wat tot remote code-executie kan leiden. Alle versies tot en met 2.4.9-alpha2 zijn getroffen. Daarnaast kunnen webshops met een Apache-webserver ouder dan 2.3.5 of met aangepaste serverconfiguraties worden geraakt door een stored cross‑site scripting-zwakte waarmee accounts – waaronder admin‑accounts – kunnen worden overgenomen.

Securitybedrijf Sansec meldt dat het probleem is opgelost in pre-release versie 2.4.9-alpha3+, maar dat er nog geen productieve update voor veel shops beschikbaar is. Adobe heeft wel een webserverconfiguratie als mitigatie vrijgegeven, maar veel winkels draaien aangepaste hostingconfiguraties waardoor die maatregel niet altijd afdoende is. Webshopeigenaren wordt dringend aangeraden uploads te beperken, toegang tot pub/media/custom_options/ te blokkeren, logs te monitoren, tijdelijke mitigaties (WAF, beperken REST‑endpoints) te implementeren en de patch te installeren zodra die uitkomt.