Magento Security Update 2.0.14 & 2.1.7

Geschreven door Ray Bogman.

security releaseOnlangs zijn er 15 veiligheidslekken in Magento 2.0.x en 2.1.x ontdekt en opgelost in een patch. De lekken zijn aanwezig in alle versies van Magento 2.0.x en 2.1.x, zowel Magento Community als Magento Enterprise shops hebben hiermee te maken. Officieel zijn er enkel patches beschikbaar voor de Magento 2.0 en Magento 2.1 reeks.

Wat zijn de 15 lekken van Magento 2?

  • APPSEC-1686 - Remote Code Execution in the Admin panel
    • CVSSv3 Severity: 8.8 (High)
  • APPSEC-1626 - RCE in video upload
    • CVSSv3 Severity: 8.8 (High)
  • APPSEC-1746 - Zend Mail vulnerability - continued
    • CVSSv3 Severity: 8.1 (High)
  • APPSEC-1559 - Possible remote code execution in email reminders
    • CVSSv3 Severity: 8.8 (High)
  • APPSEC-1565 - Customer password hash exposed in admin
    • CVSSv3 Severity: 4.3 (Medium)
  • APPSEC-1752 - Stored XSS in admin panel
    • CVSSv3 Severity: 8.0 (High)
  • APPSEC-1699 - API tokens not invalidated after disabling admin user
    • CVSSv3 Severity: 6.8 (High)
  • APPSEC-1632 - Password shown in action log (EE only)
    • CVSSv3 Severity: 6.5 (Medium)
  • APPSEC-1663 - Mass actions do not follow ACL
    • CVSSv3 Severity: 6.5 (Medium)
  • APPSEC-1661 - UI controllers do not follow ACL
    • CVSSv3 Severity: 6.5 (Medium)
  • APPSEC-1679 - APIs vulnerable to CSRF
    • CVSSv3 Severity: 6.1 (Medium)
  • APPSEC-1610 - Custom admin path disclosure
    • CVSSv3 Severity: 5.3 (Medium)
  • APPSEC-1666 - Information leak
    • CVSSv3 Severity: 4.3 (Medium)
  • APPSEC-1659 - Vulnerabilities in JavaScript libraries
    • CVSSv3 Severity: 0.0 (Low)
  • APPSEC-1622 - Incorrect routing of requests
    • CVSSv3 Severity: 0.0 (Low)

Belangrijk!

Gebruik Magento 2.0.14 of 2.1.17 CE of EE voor alle nieuwe Community of Enterprise installaties en upgrades om zo de nieuwste verbeteringen, features en beveiligingsupdates te krijgen.

Wat moet ik doen om Magento Security issues te bestrijden?

Wij raden onze klanten zo spoedig mogelijk te patchen.

Wij doen dat graag voor u. Mail ons via ons supportaanvraagformulier of bel ons op 020 337 59 61.

Via de Magento 2 CLI of Magento 2 setup GUI is het mogelijk de Magento 2 security patch te installeren. Maak altijd eerst een backup van de database en bestanden voor de patch wordt geïmplementeerd.

meer info   of   

Bel nu! 020 337 5961

Ray BogmanDit artikel is geschreven door Ray Bogman, mede-oprichter van SupportDesk en vervult zijn rol als Technisch Directeur.

Google+ | LinkedIn | Twitter

Are u ready 4 Magento 2?

Are u ready 4 Magento 2?

Are you currenty using Magento 1, and looking forward to continue your business using the latest functionality in ecommerce, than Magento 2 is ready for you.

Magento 2 is a brand new platform and ready to serve your ecommerce needs now and in the future.

more info

Stel je vraag

Stel je vraag

Stap 1. Impact analyse

Stap 1. Impact analyse

Stap 2. Pre-paid ticket

Stap 2. Pre-paid ticket

Stap 3. Uitvoeren

Stap3: Uitvoeren

Bel nu! 020 337 5961

SupportDesk B.V.
Hogehilweg 19
1101 CB Amsterdam

E-mail: support @ supportdesk.nu

meer gegevens