[English]Keine Ahnung, ob unter der Leserschaft Leute sind, die für Online-Shops verantwortlich sind, die mit der Open Source-Software Magento oder der Adobe Commerce-Lösung betrieben werden. Adobe hat zum 13. Februar 2022 ein außerplanmäßiges Sonderupdate veröffentlicht, um die bereits ausgenutzte Schwachstelle CVE-2022-24086 in den Produkten zu beseitigen. Über diese Schwachstelle wurden Ende Januar 2022 bereits zahlreiche Online-Shops, die die Open Source-Software Magento oder Adobe Commerce einsetzen, gehackt. Die Angreifer nutzten die Schwachstelle, um Malware in den Shop-Systemen zu injizieren. Ergänzung: Es gibt einen weiteren Notfall-Patch vom 17.2.2022 zum Schließen der Schwachstellen.
Anzeige
Magento-Schwachstelle CVE-2022-24086
Die nachfolgenden Tweets weisen auf die Schwachstelle und deren Folgen für die Betreiber von Magento Online-Shops hin. Mehr Details finden sich in diesem Sansec-Artikel. Adobe kennt die Schwachstelle bereits seit dem 27. Januar 2022, hat den Patch aber erst am Sonntag, den 13. Februar 2022 veröffentlicht (der Veröffentlichungszeitpunkt ist ungewöhnlich).
Laut Sansec hat diese Sicherheitslücke einen ähnlichen Schweregrad wie die Magento Shoplift-Schwachstelle aus dem Jahr 2015. Damals wurden fast alle ungepatchten Magento-Shops weltweit in den Tagen nach der Veröffentlichung des Exploits kompromittiert. Shop-Betreiber sollten daher sofort Maßnahmen zur Beseitigung der Schwachstelle betreiben.
Adobe stellt Updates bereit
Zum 13. Februar 2022 hat Adobe einen Patch für das Open Source-System Magento und sein kommerzielles Produkt Adobe Commerce veröffentlicht, um diese Schwachstelle zu schließen. In APSB22-12 schreibt Adobe dazu.
Anzeige
Adobe hat Sicherheitsupdates für Adobe Commerce und Magento Open Source veröffentlicht. Diese Updates beheben eine als kritisch eingestufte Sicherheitslücke. Bei erfolgreicher Ausnutzung kann beliebiger Code ausgeführt werden.
Adobe ist bekannt, dass die Sicherheitslücke CVE-2022-24086 in sehr begrenztem Umfang bei Angriffen auf Adobe Commerce-Händler ausgenutzt wurde.
Zur Schwachstelle heißt es, dass eine inkorrekte Validierung der Eingabedaten vorgenommen wird. Dies ermöglicht eine unauthentifizierte Remotecodeausführung (RCE) .Betroffen sind laut Adobe folgende Magento-Versionen:
Product | Version | Platform |
Adobe Commerce | 2.4.3-p1 and earlier versions 2.3.7-p2 and earlier versions |
All |
Magento Open Source | 2.4.3-p1 and earlier versions 2.3.7-p2 and earlier versions |
All |
In diesem Sansec-Bericht heißt es, dass Magento 2.3.3 oder niedriger nicht direkt verwundbar sei. Sansec empfiehlt dennoch, den angegebenen Patch manuell zu implementieren. Die Updates werden über nachfolgende Links bereitgestellt (siehe auch die Readme zu APSB22-12).
Die ZIP-Archive sind zu entpacken und dann gemäß dieser Adobe-Anleitung zu installieren. (via, via, via)
Ergänzung: Es gibt einen weiteren Notfall-Patch vom 17.2.2022 zum Schließen der Schwachstellen. Infos finden sich in diesem Artikel der Kollegen von heise.
Anzeige