Magento lukker alvorlige huller

Artiklen blev oprindeligt publiceret den 26/1/2016

Udviklerne af e-handelsplatformen Magento har lukket 20 sikkerhedshuller. To af dem er kritiske.

De to kritiske sårbarheder er begge af typen stored cross-site scripting. De giver en angriber mulighed for at lægge script-kommandoer ind i databasen, så de afvikles, når andre ser indholdet i databasen.

Alle sårbarhederne findes i Magento CE før version 1.9.2.3 og Magento EE før 1.14.2.3. De er rettet i CE 1.9.2.3 og EE 1.14.2.3.

12 af sårbarhederne findes også i Magento 2. Her er de rettet med version 2.0.1.

Anbefaling
Opdater til en rettet version.

Links

• SUPEE-7405, Magento
• Magento 2.0.1 Security Update, Magento
• Security Advisory: Stored XSS in Magento, Sucuri
• Magento Update Addresses XSS, CSRF Vulnerabilities, artikel fra Kaspersky Threatpost