MAGENTO

Kritisk sårbarhet rammer mye brukt nettbutikk-system

Magento-sårbarheten blir allerede utnyttet i angrep. En sikkerhetsfiks er tilgjengelig.

Nettbutikker som benytter Magento-løsningen fra Adobe, bør snarest installere sikkerhetspatchen som nå er tilgjengelig.
Nettbutikker som benytter Magento-løsningen fra Adobe, bør snarest installere sikkerhetspatchen som nå er tilgjengelig. Illustrasjonsfoto: Colourbox
Harald BrombachHarald BrombachNyhetsleder
15. feb. 2022 - 10:15

Adobe har kommet med en ny sikkerhetsfiks til den mye brukte nettbutikkløsningen Magento, som tilbys både i en gratis åpen kildekode-utgave og en kommersiell utgave. Begge utgaver er berørt av sårbarheten (CVE-2022-24086), som nå fjernes.

Utnyttelse av sårbarheten kan åpne for kjøring av vilkårlig kode. Det kreves ingen innlogging for å utføre angrep. Den er gitt hele 9,8 poeng på CVSS-skalaen, hvor 10,0 er det høyeste. Ifølge Adobe, som står bak Magento, har sårbarheten allerede blitt utnyttet i begrensede angrep mot nettbutikker.

Sårbarheten skal ha blitt innført med versjonen 2.3.3-p1. Den berører versjoner til og med 2.3.7-p2, i tillegg til versjonene 2.4.0 til 2.4.3-p1. 

Martin Albert-Hoff, leder Nasjonalt cybersikkerhetssenter hos NSM.
Les også

NSM om nulldagssårbarheter: – Svindyre

Utnyttelse av eldre versjoner

Den første versjonen av Magento ble lansert i 2008. I ettertid har løsningen blitt tatt i bruk av tusenvis av nettbutikker som enten drifter den selv eller leier Magento som en tjeneste av ulike tjenesteleverandører. 

Gjennom årene har Magento blitt berørt av mange sårbarheter, og det har kommet mange sikkerhetsoppdateringer. Dessverre har mange nettbutikker historisk vært trege med å installere oppdateringene. Mange bruker dessuten fortsatt versjon 1.x av programvaren. Den har ikke blitt støttet av Adobe siden sommeren 2020, men har blitt videreført som en åpen kildekode-prosjekt kalt OpenMage

Ifølge ZDNet har mer enn 500 nettbutikker som benytter Magento 1.x, nylig hatt sikkerhetsbrudd hvor det har blitt installert et skimmer-skript som stjeler betalingsinformasjon. 

Det er vanligvis mulig å se hvilken generasjon av Magento en nettbutikk bruker ved å taste inn følgende URL:

http://<domenenavn>/magento_version

I over to måneder lå et sikkerhetshull hos Norwegian-underleverandøren SFS tilgjengelig.
Les også

Personinformasjon om minst 16.000 Norwegian-kunder på avveie

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.