.jpg)
Adobe har kommet med en ny sikkerhetsfiks til den mye brukte nettbutikkløsningen Magento, som tilbys både i en gratis åpen kildekode-utgave og en kommersiell utgave. Begge utgaver er berørt av sårbarheten (CVE-2022-24086), som nå fjernes.
Utnyttelse av sårbarheten kan åpne for kjøring av vilkårlig kode. Det kreves ingen innlogging for å utføre angrep. Den er gitt hele 9,8 poeng på CVSS-skalaen, hvor 10,0 er det høyeste. Ifølge Adobe, som står bak Magento, har sårbarheten allerede blitt utnyttet i begrensede angrep mot nettbutikker.
Sårbarheten skal ha blitt innført med versjonen 2.3.3-p1. Den berører versjoner til og med 2.3.7-p2, i tillegg til versjonene 2.4.0 til 2.4.3-p1.
Utnyttelse av eldre versjoner
Den første versjonen av Magento ble lansert i 2008. I ettertid har løsningen blitt tatt i bruk av tusenvis av nettbutikker som enten drifter den selv eller leier Magento som en tjeneste av ulike tjenesteleverandører.
Gjennom årene har Magento blitt berørt av mange sårbarheter, og det har kommet mange sikkerhetsoppdateringer. Dessverre har mange nettbutikker historisk vært trege med å installere oppdateringene. Mange bruker dessuten fortsatt versjon 1.x av programvaren. Den har ikke blitt støttet av Adobe siden sommeren 2020, men har blitt videreført som en åpen kildekode-prosjekt kalt OpenMage.
Ifølge ZDNet har mer enn 500 nettbutikker som benytter Magento 1.x, nylig hatt sikkerhetsbrudd hvor det har blitt installert et skimmer-skript som stjeler betalingsinformasjon.
Det er vanligvis mulig å se hvilken generasjon av Magento en nettbutikk bruker ved å taste inn følgende URL:
http://<domenenavn>/magento_version
