Adobe verzoekt webwinkels die gebruikmaken van webshopsoftware Adobe Commerce of Magento Open Source om een kritieke kwetsbaarheid zo snel mogelijk te patchen, aangezien aanvallers hier actief misbruik van maken en dit grote gevolgen kan hebben. Het beveiligingslek (CVE-2024-34102) betreft Improper Restriction of XML External Entity Reference ('XXE'). De impact is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Volgens securitybedrijf Sansec gaat het om de grootste kwetsbaarheid waar webshops draaiend op Magento en Adobe Commerce de afgelopen twee jaar mee te maken hebben gekregen. Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand toegang tot allerlei bestanden van de webshop krijgen, waaronder die met wachtwoorden. "Gecombineerd met het recent ontdekte iconv-lek in Linux, verandert het in de nachtmerrie van remote code execution", aldus Sansec. Een aanvaller krijgt zo volledige controle over de webshop.

Volgens het securitybedrijf zijn dergelijke aanvallen te automatiseren wat kan leiden tot grootschalige aanvallen op webshops. Iets wat sinds 1 juli ook gebeurt, zo laat Sansec weten. Vorige week besloot Adobe het installeren van de update de hoogste prioriteit te geven. Het softwarebedrijf werkt voor de installatie van patches met drie prioriteitniveaus. Toen updates voor de kwetsbaarheid in juni verschenen had Adobe de installatie 'prioriteit 3' gegeven, waarbij het bedrijf uitlegt dat beheerders de patch kunnen installeren als het hen uitkomt.

Vorige week is de prioriteit opgeschaald naar 'prioriteit 1', wat het hoogste niveau is. Nu krijgen webshops het advies de update zo snel mogelijk te installeren, waarbij als voorbeeld binnen 72 uur wordt gegeven. Ook het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt voor actief misbruik en heeft overheidsorganisaties die met de software werken opgedragen de update voor 7 augustus te installeren.