Nieuws

Webwinkels kwetsbaar door kritiek lek in Adobe Commerce en Magento

woensdag 13 april 2022, 15:36 door Redactie, 5 reacties

Een kritieke kwetsbaarheid in de populaire webwinkelsoftware Adobe Commerce en Magento Open Source maakt het mogelijk voor aanvallers om webshops op afstand over te nemen. Adobe heeft beveiligingsupdates uitgebracht en roept webwinkels op om die snel te installeren, waarbij als suggestie binnen 72 uur wordt aangeraden.

Honderdduizenden webshops draaien op Adobe Commerce, dat eerder nog bekendstond als Magento Commerce, en Magento Open Source. De afgelopen jaren is het geregeld voorgekomen dat webshops zijn gecompromitteerd via bekende kwetsbaarheden in beide producten. Het beveiligingslek waarvoor Adobe nu waarschuwt, CVE-2022-24093, wordt veroorzaakt door het niet goed valideren van gebruikersinvoer en maakt remote code execution mogelijk. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.1.

Adobe heeft de beveiligingsupdates de hoogste prioriteit gegeven. Een dergelijk prioritering wordt alleen gegeven aan aangevallen kwetsbaarheden of beveiligingslekken die een grotere kans hebben om te worden misbruikt. Webwinkels wordt geadviseerd de update "zo snel mogelijk" te installeren, waarbij Adobe als voorbeeld binnen 72 uur geeft.

Celstraf voor man die met OpenBullet op systemen van bedrijven inbrak

Microsoft waarschuwt voor malware die "verborgen" geplande taken gebruikt

Reacties (5)

13-04-2022, 17:14 door Anoniem

Ik heb een geprobeerd in een discussie met de adobe magento aan te geven dat Magento niet opensource is omdat het een onderdeel bevat dat niet opensource is, namelijk elastic search. Blijkbaar hanteren ze die naam dus nog steeds om zieltjes te werven.

Gewoon magento 1.9 gebruiken, dat is veel veiliger, sneller en in 85% van de gevallen waarschijnlijk voldoende.

13-04-2022, 20:25 door Anoniem

Even scannen hier: https://www.magereport.com
Dankzij GWillem weten we zo de security status van de webshop site in kwestie.
luntrus

14-04-2022, 07:33 door Anoniem

Door Anoniem: Ik heb een geprobeerd in een discussie met de adobe magento aan te geven dat Magento niet opensource is omdat het een onderdeel bevat dat niet opensource is, namelijk elastic search. Blijkbaar hanteren ze die naam dus nog steeds om zieltjes te werven.

Elastic Search is wel degelijk open-source: https://github.com/elastic/elasticsearch

En blijven hangen op een end-of-life product (1.9) lijkt mij geen verstandig idee..

14-04-2022, 14:08 door Anoniem

Niet verrassend, een grote rommel die code base.

14-04-2022, 14:09 door Anoniem

Elastic is gewoon open source?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Is geen nieuwe auto krijgen ook al schade onder de AVG?

20-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik las in een recent arrest dat een garagebedrijf onder de AVG(!) aansprakelijk werd gehouden voor een ...

12 reacties

Lees meer