Magento

Kritisk sårbarhet rammer mye brukt nettbutikk-system

Magento-sårbarheten blir allerede utnyttet i angrep. En sikkerhetsfiks er tilgjengelig.

Nettbutikker som benytter Magento-løsningen fra Adobe, bør snarest installere sikkerhetspatchen som nå er tilgjengelig.
Nettbutikker som benytter Magento-løsningen fra Adobe, bør snarest installere sikkerhetspatchen som nå er tilgjengelig. Illustrasjonsfoto: Colourbox
Harald BrombachHarald Brombach– Journalist
15. feb. 2022 - 10:15

Adobe har kommet med en ny sikkerhetsfiks til den mye brukte nettbutikkløsningen Magento, som tilbys både i en gratis åpen kildekode-utgave og en kommersiell utgave. Begge utgaver er berørt av sårbarheten (CVE-2022-24086), som nå fjernes.

Utnyttelse av sårbarheten kan åpne for kjøring av vilkårlig kode. Det kreves ingen innlogging for å utføre angrep. Den er gitt hele 9,8 poeng på CVSS-skalaen, hvor 10,0 er det høyeste. Ifølge Adobe, som står bak Magento, har sårbarheten allerede blitt utnyttet i begrensede angrep mot nettbutikker.

Sårbarheten skal ha blitt innført med versjonen 2.3.3-p1. Den berører versjoner til og med 2.3.7-p2, i tillegg til versjonene 2.4.0 til 2.4.3-p1. 

Open AI-sjef Sam Altman skal være interessert i kjøpe nettleseren Chrome fra Google, som Alphabet-sjef Sundar Pichai har ansvaret for. Her ankommer de begge Det hvite hus ved en tidligere anledning.
Les også:

Open AI står klar hvis Google må selge Chrome

Utnyttelse av eldre versjoner

Den første versjonen av Magento ble lansert i 2008. I ettertid har løsningen blitt tatt i bruk av tusenvis av nettbutikker som enten drifter den selv eller leier Magento som en tjeneste av ulike tjenesteleverandører. 

Gjennom årene har Magento blitt berørt av mange sårbarheter, og det har kommet mange sikkerhetsoppdateringer. Dessverre har mange nettbutikker historisk vært trege med å installere oppdateringene. Mange bruker dessuten fortsatt versjon 1.x av programvaren. Den har ikke blitt støttet av Adobe siden sommeren 2020, men har blitt videreført som en åpen kildekode-prosjekt kalt OpenMage

Ifølge ZDNet har mer enn 500 nettbutikker som benytter Magento 1.x, nylig hatt sikkerhetsbrudd hvor det har blitt installert et skimmer-skript som stjeler betalingsinformasjon. 

Det er vanligvis mulig å se hvilken generasjon av Magento en nettbutikk bruker ved å taste inn følgende URL:

http://<domenenavn>/magento_version

Angriper fikk full kontroll via en filopplaster, ifølge Morten Reintz, informasjonssikkerhetssjef ved Nord universitet
Les også:

Datainnbrudd: Flere tusen studenter er berørt

Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.