Heeft u nog een Magento webwinkel versie 1.x? Dan is het van belang dat u deze nieuwste Magento veiligheidsupdate installeert of laat installeren.
Welke veiligheidslekken worden in deze patch aangepakt?
Het gaat onder andere om de volgende issues:
1. Registratieproces van nieuwe klanten
Op dit moment kan een hacker een stukje 'Javascript' code in zijn e-mailadres meegeven bij het aanmaken van een nieuwe account. Met de juiste code is het mogelijk na inloggen om de rol van 'Administrator' op zich te nemen met de bijbehorende rechten en bevoegdheden.
2. PayFlow payment module van Paypal
Door het meegeven van een stuk code in het opmerkingenveld tijdens het betalen van een bestelling via Paypal is het mogelijk om van buitenaf de 'Aministrator Session' over te nemen en te handelen alsof men de beheerder van de webshop is.
3. Header configuratie
In sommige Magento installaties en configuraties is het voor een hacker mogelijk om in de header een stuk Javascript code mee te geven. Als een klant vervolgens inlogt en zijn bestellingen bekijkt wordt de code geactiveerd en is het wederom mogelijk voor de hacker om de admin sessie over te nemen.
4. Parameters in RSS feed request
Door gebruik te maken speciale parameters bij de RSS feed request is het mogelijk om opmerkingen die bij bestelling geplaatst en andere bestelling-gerelateerde informatie te downloaden. Hiermee kan mogelijk toegang tot de klantaccount verkregen worden.
5. Admin login pagina
De loginpagina voor de Magento admin moet beschermd worden voor een Forgery Attack. Daarbij klikt de admin die aan het inloggen is op een link die een bepaalde actie uitvoert maar dan op een pagina die door een hacker beheerd wordt.
Naast deze High Risk Issues wordt nog een groot aantal andere veiligheidsissues met deze Magento patch opgelost. Wacht dus niet te lang met het installeren van deze Magento veiligheidsupdate.
Zelf testen hoe veilig mijn Magento webwinkel is
We schreven eerder in een blog als over de veiligheid van uw Magento webshop. In dat blog staat een link MageReport waar u in een oogopslag kunt zien welke patches nog niet zijn geïnstalleerd in uw shop en wat het risico daarvan is. We helpen u hier uiteraard graag bij.
Reactie toevoegen