Alert!

Jetzt patchen: Gefährliche Lücken in Magento erlauben unbefugte Zugriffe

Adobe hat vier Sicherheitslücken in Magento Commerce 2 und Open Source 2 geschlosssen, von denen zwei als kritisch gelten.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1 Beitrag

(Bild: heise online (Collage))

Von

Das Unternehmen Adobe, zu dem Magento Commerce seit 2018 gehört, hat wichtige Security-Updates für die E-Commerce-Plattform veröffentlicht. Über die vier nun geschlossenen Sicherheitslücken, von denen zwei als "Important" und zwei als "Critical" eingestuft wurden, hätten Angreifer unter bestimmten Voraussetzungen Verifizierungsmechanismen aushebeln und beliebigen Code ausführen können. Anwender sollten die Updates möglichst zeitnah einspielen.

Über die Sicherheitslücken angreifbar waren die Magento-Varianten Commerce 2 und Open Source 2, jeweils bis einschließlich Version 2.3.5-p1, für alle verfügbaren Zielplattformen.

Ein Update auf 2.3.5-p2 oder 2.4.0 beseitigt die mindestens teilweise aus der Ferne ausnutzbaren Sicherheitslücken CVE-2020-9689 (Path Traversal-Attacke), CVE-2020-9690 (zeitbasierte Angriffsmöglichkeit), CVE-2020-9691 (DOM-basiertes Cross-Site-Scripting) und CVE-2020-9692 (nicht näher bezeichnete Umgehung von Sicherheitsvorkehrungen).

Weitere Informationen zu den Sicherheitslücken und Updates nennt Adobes Security Advisory:

(ovw)