Kwetsbaarheden in Adobe Commerce en Magento Verholpen

Adobe heeft recente beveiligingslekken in haar Commerce en Magento producten aangepakt. Deze kwetsbaarheden maakten het mogelijk dat kwaadwillenden via verschillende aanvalsmethoden aanzienlijke schade konden veroorzaken. In dit document bieden we diepgaand inzicht in de details van deze beveiligingsproblemen, hun potentiële impact, en de maatregelen die gebruikers kunnen nemen om hun systemen te beveiligen.

Belangrijkste Kenmerken van de Kwetsbaarheden

De blootgestelde kwetsbaarheden betroffen onder andere het volgende:

1. Exposure of Sensitive Information: Ongeautoriseerde toegang tot gevoelige informatie.
2. Server-Side Request Forgery (SSRF): Aanvallen waarbij een server wordt misleid om onbevoegde verzoeken door te sturen.
3. Cross-site Scripting (XSS): Bezoekers kunnen onopgemerkt scripts laten uitvoeren op kwetsbare webpagina’s.
4. Improper Authorization en Authentication: Gebrekkige autorisatie en authenticatie kunnen ongeoorloofd toegang bieden.
5. TOCTOU Race Condition: Concurrent herkennen en gebruiken van systeemtoestanden.
6. Improper Access Control: Ontbrekende of niet-effectieve toegangslimieten.

Schade en Gevolgen

Deze kwetsbaarheden stelden aanvallers in staat om beveiligingsmaatregelen te omzeilen, toegang te verkrijgen tot gevoelige en systeemgegevens, gebruikersrechten te escaleren en op afstand code uit te voeren binnen gebruikersrechten.

Betrokken Platforms en Productversies

De beveiligingsproblemen hadden impact op de volgende Adobe productlijnen en versies:

• Adobe Commerce
• Adobe Commerce B2B
• Magento 2.4.4 tot en met 2.4.7 in diverse updatepakketten.
• Magento Open Source

Oplossingen en Aanbevelingen

Adobe heeft updates uitgebracht om de beveiligingslekken te dichten. Gebruikers wordt sterk aangeraden om de laatste patches te installeren. Meer over deze updates is te vinden via de officiële Adobe Security Bulletin.

CVE-Referenties

Er zijn meerdere CVE’s (Common Vulnerabilities and Exposures) toegewezen aan deze kwetsbaarheden, waaronder:

• CVE-2024-45115
• CVE-2024-45116
• CVE-2024-45117
• En nog verschillende andere.

De gedetailleerde beschrijving van elke kwetsbaarheid is te vinden op de CVE website.

Het Nationaal Cyber Security Centrum (NCSC) beoogt met dit beveiligingsadvies een hulpmiddel te bieden voor professionele kennis. Het NCSC is echter niet verantwoordelijk voor mogelijke omissies of onjuistheden in dit advies en eventuele schade voortvloeiend uit het gebruik daarvan.

Conclusie

Neem tijdig actie door updates te installeren en extra beveiligingslagen toe te voegen om de potentiële risico’s van deze kwetsbaarheden te minimaliseren. Door beveiligingsstrategieën aan te passen, kunnen organisaties de invloed van dergelijke kritieke kwetsbaarheden aanzienlijk reduceren.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----