14 april 2017 14:59

Lek in Magento brengt online retailers in gevaar

Een kwetsbaarheid in Magento kan ervoor zorgen dat hackers op afstand code kunnen uitvoeren, waardoor ze toegang kunnen krijgen tot het hele systeem en de gegevens van klanten.

Het lek werd ontdekt door securitybedrijf DefenseCode en werd sinds november meermaals gemeld aan Magento. Ondanks die berichtgeving en de verschillende softwareupdates sindsdien, is het probleem nog niet verholpen, schrijft DefenseCode op hun website.

Lek bij video’s

Het bedrijf publiceerde een document waarin ze het probleem toelichten. Daarin staat beschreven hoe het lek zich bevindt in de functie die toestaat om video’s van Vimeo toe te voegen aan productpagina’s. Door een foutje in de achterliggende software kunnen hackers ervoor zorgen dat ze de toegang krijgen tot het systeem, en de gegevens van klanten – waaronder betaalinformatie – kunnen inkijken.

Het lek bevindt zich in Magento’s gratis Community Edition, versies 2.61 en ouder, en kan mogelijk ook opduiken in de betalende Enterprise Edition. DefenseCode raadt gebruikers van de software aan om de functie “Add Secret Key to URLs” te gebruiken om aanvallen af te weren.

Onderzoek

Magento liet aan ThreatPost weten de softwarefout te onderzoeken. “We zijn bezig met een onderzoek naar de onderliggende oorzaak van het gerapporteerde probleem en zijn ons niet bewust van enige aanvallen. We zullen dit probleem aanpakken in onze volgende patchrelease,” klonk het in een statement.

Het populaire e-commercesysteem Magento draait op opensource-software en ondersteunt tot 200.000 online retailers, meldt DefenseCode. Uit Twinkle’s webshopsurvey blijkt bovendien dat Magento het populairste e-commerceplatform is onder de Belgische ondervraagden.

https://www.twinkle.be/nieuws/167514/infografiek-resultaten-twinkle-webshop-survey/