Magento hat neue Patches und Versionen für Magento 1 und neue Versionen für Magento 2 veröffentlicht. Es wurden eine Vielzahl von Sicherheitsproblemen beseitigt. Betroffen sind sowohl Magento Community Edition (CE), als auch die Magento Enterprise Edition (EE).
Magento durch Fehler bei Datei-Uploads verwundbar
Das Magento Team weist am heutigen Tag auf eine seit längerer Zeit bekannte Sicherheitslücke in seiner eCommerce-Software hin.
Die Funktion für das hinzufügen eines Vimeo-Videos kann für den Upload beliebigen Codes auf den Server missbraucht werden. Es ist möglich eine .htaccess-Datei ins Upload-Verzeichnis einzuschleusen, mit Hilfe derer dort das Ausführen von PHP-Code erlaubt werden kann. Anschießend kann nun eine PHP-Datei mit beliebigen Code hochgeladen und ausgeführt werden.