Ett nytt säkerhetshål i Magento har uppdagats och för den delen också patchats, av det Adobe-ägda företaget bakom e-handelsplattformen. Patchen, programkoden som fixar buggen, släpptes i förra veckan av Magento och har nu analyserats av bland annat säkerhetsföretaget Sucuri.
Säkerhetshålet ska gälla i princip alla versioner innan dessa:
- Magento Commerce 1.14.4.1
- Magento Open Source 1.9.4.1
- Magento 2.1.17
- Magento 2.2.8
- Magento 2.3.1
Det betyder alltså att väldigt många e-handelssajter är påverkade.
Lätt att hacka sig in
Alla som driver en e-handel på Magento uppmanas nu att snabbt applicera fixen som stänger säkerhetshålet. Det ska nämligen vara mycket enkelt att utnyttja svagheten.
- Sårbarheten är väldigt lätt att utnyttja, och vi uppmanar alla Magento-webbplatsägare att uppdatera till dessa nyligen patchade versioner för att skydda sina e-handelswebbplatser, skriver säkerhetsanalytikern Marc-Alexandre Montpas.
Kod redan publicerad
Säkerhetshålet i fråga är speciellt i att det inte kräver någon form av privilegier eller användarrättigheter. Vem som helst kan alltså ta sig in i systemet, med lite tekniskt kunnande, och ladda ner information som lagras i databasen.
Efter att Sucuri analyserat patchen så kunde de snabbt skapa ett verktyg för att framgångsrikt komma in i en Magento-webbplats, som inte patchats. Och under fredagen publicerades färdig kod, av en annan aktör, för att kunna utnyttja säkerhetshålet.
Kan automatiseras
Problemet är att detta nu kan automatiseras i stor skala. Det kan exempelvis skapas botar som installerar otrevliga saker i kassorna på hundratusentals e-handelsbutiker som kör Magento.
- Antalet aktiva installationer, hur enkelt säkerhetshålet är att utnyttja och effekterna av en lyckad attack är det som gör denna sårbarhet särskilt farlig, skriver Marc-Alexandre Montpas.
Sucuri uppmanar alla Magento-användare att omedelbart uppdatera till den senaste versionen av e-handelsplattformen.
