Magento & Shopware
Services

Hot Fix Magento 2 voor CVE2019-8118

1 april 2020
door SupportDesk

In 2019 werd een lek gevonden in Magento 2.2.x en 2.3.x. Na het toevoegen van een product aan de wishlist, werd er gecheckt of er ingelogd kon worden. Deze (mislukte) Inlogpogingen werden opgeslagen en konden worden ingezien. Dit lek is gedicht met de update CVE2019-8118, uitgebracht in oktober 2019, welke is opgenomen in Magento 2.3.3 en 2.2.10. Hoewel de patch ervoor heeft gezorgd dat mislukte inlogpogingen niet meer gelogd worden, bestaat mogelijk nog steeds informatie die is verzameld voordat deze is bijgewerkt naar de meest recente versie.

Deze update wist dus alle mislukte inlogpogingen die vóór de eerste update zijn geregistreerd. De database tabel met inlogpogingen is niet zomaar toegankelijk, alleen als een webshop op een andere manier ook kwetsbaar is. Toch raden we aan om deze hot fix zo snel mogelijk te implementeren. Geldt deze beveiligingsupdate voor mijn webshop? Deze update is van toepassing voor alle Magento 2 shops die draaien op Magento Open Source en Magento Commerce voor 2.3.x, 2.2.x en eerdere versies. Ook als u (nog) geen gebruik maakt van een wishlist op uw shop raden wij aan deze beveiligingsupdate door te voeren. Deze update geldt niet voor Magento 1 webshops.