Magento Security Update SUPEE-10266

Geschreven door Ray Bogman.

security releaseOnlangs zijn er 13 veiligheidslekken in Magento ontdekt en opgelost in een patch SUPEE-10266. De lekken zijn aanwezig in alle versies van Magento t/m 1.9/x, dus zowel Magento Open Source (voorheen Magento Community Edition) als Magento Commerce  (voorheen Magento Enterprise Edition) shops hebben hiermee te maken. Officieel zijn er enkel patches beschikbaar vanaf 1.5 en hoger, maar het betreft hier een issue dat impact heeft op alle versies.

Wat zijn de 13 lekken van SUPEE-10266?

  • APPSEC-1838: RSS session admin cookie can be used to gain Magento administrator privileges.
    • CVSSv3 Severity: 8.2 (High)
  • APPSEC-1800: Remote Code Execution vulnerability in CMS and layouts
    • CVSSv3 Severity: 8.2 (High)
  • APPSEC-1835: Exposure of Magento secret key from app/etc/local.xml
    • CVSSv3 Severity: 8.2 (High)
  • APPSEC-1757: Directory traversal in template configuration
    • CVSSv3 Severity: 6.1 (Medium)
  • APPSEC-1852: CSRF + Stored Cross Site Scripting (customer group)
    • CVSSv3 Severity: 6.0 (Medium)
  • APPSEC-1494: AdminNotification Stored XSS
    • CVSSv3 Severity: 5.9 (Medium)
  • APPSEC-1793: Potential file uploads solely protected by .htaccess
    • CVSSv3 Severity: 5.8 (Medium)
  • APPSEC-1853: CSRF + Stored Cross Site Scripting in newsletter template
    • CVSSv3 Severity: 5.5 (Medium)
  • APPSEC-1729: XSS in admin order view using order status label in Magento
    • CVSSv3 Severity: 5.5 (Medium)
  • APPSEC-1579: Customer Segment Delete Action uses GET instead of POST request
    • CVSSv3 Severity: 5.1 (Medium)
  • APPSEC-1588: Order Item Custom Option Disclosure
    • CVSSv3 Severity: 4.9 (Medium)
  • APPSEC-1599: Admin login does not handle autocomplete feature correctly
    • CVSSv3 Severity: 4.1 (Medium)
  • APPSEC-1688: Secure cookie check to prevent MITM not expiring user sessions
    • CVSSv3 Severity: 3.8 (Low)

Belangrijk!

  • Gebruik altijd de laatste versie van CE (Magento Open Source) (1.9.3.6)/ EE (Magento Commerce) (1.14.3.6) om zo de nieuwste verbeteringen, features en beveiligingsupdates te krijgen. 

 

Wat moet ik doen om Magento Security issues te bestrijden?

Wij raden onze klanten zo spoedig mogelijk te patchen.

Wij doen dat graag voor u. Mail ons via ons supportaanvraagformulier of bel ons op 020 337 59 61.

Via de Magento download website is het mogelijk de Magento security patch SUPEE-10266 te installeren. Maak altijd eerst een backup van de database en bestanden voor de patch wordt geïmplementeerd.

meer info   of   

Bel nu! 020 337 5961

Ray BogmanDit artikel is geschreven door Ray Bogman, mede-oprichter van SupportDesk en vervult zijn rol als Technisch Directeur.

Google+ | LinkedIn | Twitter

Are u ready 4 Magento 2?

Are u ready 4 Magento 2?

Are you currenty using Magento 1, and looking forward to continue your business using the latest functionality in ecommerce, than Magento 2 is ready for you.

Magento 2 is a brand new platform and ready to serve your ecommerce needs now and in the future.

more info

Stel je vraag

Stel je vraag

Stap 1. Impact analyse

Stap 1. Impact analyse

Stap 2. Pre-paid ticket

Stap 2. Pre-paid ticket

Stap 3. Uitvoeren

Stap3: Uitvoeren

Bel nu! 020 337 5961

SupportDesk B.V.
Hogehilweg 19
1101 CB Amsterdam

E-mail: support @ supportdesk.nu

meer gegevens