Magento Security Update SUPEE-7405

Geschreven door Ray Bogman.

securityrelease

Onlangs zijn er 20 veiligheidslekken in Magento ontdekt en opgelost in een patch SUPEE-7405. De lekken zijn aanwezig in alle versies van Magento t/m 1.9/x, dus zowel Magento Community als Magento Enterprise shops hebben hiermee te maken. Officieel zijn er enkel patches beschikbaar vanaf 1.4 en hoger, maar het betreft hier een issue dat impact heeft op alle versies.  

Wat zijn de 20 lekken van SUPEE-7405?

  • Stored XSS via email address - APPSEC-1213
    • CVSSv3 Severity: 9.3 (Critical)
  • Stored XSS in Order Comments - APPSEC-1239
    • CVSSv3 Severity: 9.3 (Critical)
  • Stored XSS in Order - APPSEC-1260
    • CVSSv3 Severity: 7.5 (High)
  • Guest order view protection code vulnerable to brute-force attack - APPSEC-1270
    • CVSSv3 Severity: 7.5 (High)
  • Information Disclosure in RSS feed - APPSEC-1171
    • CVSSv3 Severity: 7.5 (High)
  • CSRF token not validated on backend login page - APPSEC-1206
    • CVSSv3 Severity: 7.4 (High)
  • Malicious files can be upload via backend - APPSEC-1306
    • CVSSv3 Severity: 6.5 (Medium)
  • CSRF leading to execution of admin actions after login - APPSEC-1179
    • CVSSv3 Severity: 6.1 (Medium)
  • Excel Formula Injection via CSV/XML export - APPSEC-1110
    • CVSSv3 Severity: 6.1 (Medium)
  • XSS in Product Custom Options - APPSEC-1267
    • CVSSv3 Severity: 5.9 (Medium)
  • Editing or Deleting Reviews without permission - APPSEC-1268
    • CVSSv3 Severity: 5.4 (Medium)
  • Disruption of email delivery - APPSEC-1177
    • CVSSv3 Severity: 5.3 (Medium)
  • CAPTCHA Bypass - APPSEC-1283
    • CVSSv3 Severity: 5.3 (Medium)
  • Admin path disclosure via Authorize.net - APPSEC-1208
    • CVSSv3 Severity: 5.3 (Medium)
  • XSS Payload in website's translation table - APPSEC-1214
    • CVSSv3 Severity: 4.7 (Medium)
  • CSRF Delete Items from Cart - APPSEC-1212
    • CVSSv3 Severity: 4.3 (Medium)
  • XSS via custom options - APPSEC-1276
    • CVSSv3 Severity: 4.8 (Low)
  • Risky serialized string filtering - APPSEC-1204
    • CVSSv3 Severity: 0 (Low)
  • Reflected XSS in backend coupon entry - APPSEC-1305
    • CVSSv3 Severity: 0 (Low)
  • Injected code can be stored in database - APPSEC-1240
    • CVSSv3 Severity: 0 (Low)
  • Injected code can be stored in database - APPSEC-1240
    • CVSSv3 Severity: 0 (Low)

Magento 1.9.2.3 update

Magento adviseert om spoedig alles te update naar de laatste versie, Magento 1.9.2.3.
Deze Magento security update heeft impact op de volgende onderdelen.

  • admin toegang
  • verwijderen of aanpassen van reviews
  • manupuleren van orders
  • orders van andere inzien
  • klantgegevens inzien
  • wachtwoord phishing
  • ongeoorloofde upload
  • denial of service (website offline brengen)
  • omzeilen van de CAPTCHA
  • producten uit winkelmand verwijderen


Wat moet ik doen om Magento Security issues te bestrijden?

Wij raden onze klanten zo spoedig mogelijk te patchen.

Wij doen dat graag voor u. Mail ons via ons supportaanvraagformulier of bel ons op 020 337 59 61.

Via de Magento download website is het mogelijk de Magento security patch SUPEE-6788 te installeren. Maak altijd eerst een backup van de database en bestanden voor de patch wordt geïmplementeerd.

meer info   of   

Bel nu! 020 337 5961

Ray BogmanDit artikel is geschreven door Ray Bogman, mede-oprichter van SupportDesk en vervult zijn rol als Technisch Directeur.

Google+ | LinkedIn | Twitter

Are u ready 4 Magento 2?

Are u ready 4 Magento 2?

Are you currenty using Magento 1, and looking forward to continue your business using the latest functionality in ecommerce, than Magento 2 is ready for you.

Magento 2 is a brand new platform and ready to serve your ecommerce needs now and in the future.

more info

Stel je vraag

Stel je vraag

Stap 1. Impact analyse

Stap 1. Impact analyse

Stap 2. Pre-paid ticket

Stap 2. Pre-paid ticket

Stap 3. Uitvoeren

Stap3: Uitvoeren

Condoom Anoniem: De eerste Magento 2 Open Source shop in een Magento Cloud (Commerce) omgeving https://t.co/DTQYY63330

Bel nu! 020 337 5961

SupportDesk B.V.
Hogehilweg 19
1101 CB Amsterdam

E-mail: support @ supportdesk.nu

meer gegevens