Prelution blog

Altijd en overal op de hoogte van het laatste nieuws


Kritisch lek gevonden in Magento (+ Security patch)

Gebruik je Magento voor je webshop? Dan is het aangeraden om zo snel mogelijk de security patch te installeren. Vrijwel alle versies van het e-commerceplatform zijn kwetsbaar in het registratieformulier voor klanten van de shop.

Door middel van een XSS bug kunnen hackers de website, en eventueel zelfs de server overnemen waarop de software zich bevind. Volgens Sucuri gaat het om vrijwel alle Magento versies tot aan de huidige 1.9.2.3 Community Edition en 1.14.2.3 Enterprise Edition. Via het lek kunnen hackers een JavaScript code toevoegen aan de klantregistratieformulieren. Volgens Magento zelf is dit niet mogelijk als de klanten gebruik maken van een WAF (Web Application Firewall). Een WAF monitort en filtert het verkeer richting de applicatie door alle HTML, http(s) en XML-pakketten te inspecteren.

Magento geeft aan dat de bug afhankelijk is van de PayFlow Pro betalingsmodule, welke niet wordt gebruikt door het merendeel van de Magento gebruikers.

Via deze website kan je testen of de patch succesvol is geïnstalleerd.