'Magento-webwinkels op grote schaal aangevallen via nieuw beveiligingslek'

In dit artikel:

Beveiligingsbedrijf Sansec waarschuwt dat webwinkels op basis van Magento en Adobe Commerce massaal worden aangevallen via een kritieke kwetsbaarheid in de REST API, door het bedrijf aangeduid als "PolyShell". De fout — een unrestricted file upload — maakt het voor ongeauthenticeerde aanvallers mogelijk uitvoerbare bestanden te uploaden, wat remote code execution of accountkapingen kan veroorzaken. Alle versies tot en met 2.4.9-alpha2 zijn vatbaar; daarnaast lopen winkels met Apache-webservers ouder dan 2.3.5 of met aangepaste configuraties risico op stored XSS waarmee admin-accounts overgenomen kunnen worden. Sansec meldde het probleem op 17 maart en constateerde vanaf 19 maart grootschalig misbruik: 56,7% van de kwetsbare shops vertoont PolyShell-activiteit. Onderzoekers vonden ook een skimmer op de betaalpagina van een autofabrikant, vermoedelijk geplaatst via deze aanval. Er is momenteel alleen een patch voor de pre-releasebranch; beheerders moeten dringend mitigaties toepassen, logs en betaalpagina's scannen en waar mogelijk updates of tijdelijke blokkades van de REST API inzetten.