Ga naar de inhoud
1 april 2019 • Nieuws

300 duizend Magento-sites kwetsbaar voor ernstig SQL-lek

Een ernstige kwetsbaarheid in het Magento e-commerce platform vormt een risico voor zo’n 300 duizend webshops. Hackers kunnen via een SQL-infectiebug een administrator-account in handen krijgen, met alle gevolgen van dien. Een update is nu beschikbaar.

import12-import10-working_on_laptop_website

Magento is een populair, open-source e-commerce platform van Adobe. Gebruikers kunnen kiezen uit Magento Open Source (de php-versie) en Magento Commerce, een betaalde cloud-variant. De software wordt gebruikt door webshops, die nu gevaar lopen.

Proof-of-concept is gedemonstreerd

Beveiligingsonderzoekers van Sucuri schrijven in een blogpost over PRODSECBUG-2198, een SQL-infectiebug die kwaadwillenden zonder authenticatie kunnen misbruiken. Een hacker die weet hoe hij gebruikersnamen en wachtwoord-hashes kan downloaden en kraken, kan de controle overnemen van een administratoraccount. Als dat gelukt is, kan hij bijvoorbeeld een achterdeurtje in de software installeren of creditcardgegevens skimmen.

Sucuri claimt met succes een proof-of-concept van de kwetsbaarheid te hebben gemaakt. Eén van de beveiligingsonderzoekers noemt de bug een ‘serieuze kwetsbaarheid’ omdat hackers de aanval kunnen automatiseren en zo snel en eenvoudig veel webshops kunnen infecteren. Een malwareonderzoeker van  antivirusmaker Malwarebytes zegt tegen Arstechnica dat kwaadwillenden vast en zeker wachten op het proof-of-concept zodat ze de bug kunnen misbruiken.

Lees verder op AGconnect.nl


Heeft u vragen naar aanleiding van dit artikel?

Neem dan contact met ons op.