Security: Magento Update SUPEE-10415

-Magento 2

Security: Magento Update SUPEE-10415

Zojuist is er door Magento een nieuwe security update aangekondigd voor alle Magento 1 en Magento 2 versies. De security update SUPEE-10415 dicht meerdere kritieke veiligheidslekken, waaronder een remote code execution (RCE) in je backend. Kwaadwillenden kunnen daarbij schadelijke code toevoegen via de backend van je shop.

De lekken zijn aanwezig in alle versies van Magento t/m 1.9.x. Magento 2.x versies moeten updaten naar Magento 2.2.1, 2.1.10 of 2.0.17.

Wat zijn de 11 lekken van SUPEE-10415?

  • ✓ APPSEC-1330: Unsanitized input leading to denial of service
          CVSSv3 Severity: 6.7 (Medium)

  • ✓ APPSEC-1885: Stored XSS in Product Descriptions
          CVSSv3 Severity: 6.6 (Medium)

  • ✓ APPSEC-1892: Stored XSS in Visual Merchandiser
          CVSSv3 Severity: 6.1 (Medium)

  • ✓ APPSEC-1894: Remote Code Execution by leveraging unsafe unserialization
          CVSSv3 Severity: 8.2 (High)

  • ✓ APPSEC-1897: Fix WSDL based patching to work with SOAP V1
          CVSSv3 Severity: None (patch fix)

  • ✓ APPSEC-1913: Remote Code Execution through Config Manipulation
          CVSSv3 Severity: 7.2 (High)

  • ✓ APPSEC-1914: Stored XSS in CMS Page Area
          CVSSv3 Severity: 6.1 (Medium)

  • ✓ APPSEC-1915: Remote Code Execution in CMS Page Area
          CVSSv3 Severity: 8.2 (High)

  • ✓ APPSEC-1325: Stored XSS in Billing Agreements
          CVSSv3 Severity: 5.5 (Medium)

  • ✓ APPSEC-1830: PHP Object Injection in product attributes leading to Remote Code Execution
          CVSSv3 Severity: 8.2 (High)

  • ✓ APPSEC-1861: PHP Object Injection in product entries leading to Remote Code Execution
          CVSSv3 Severity: 8.2 (High)

Wij raden webshop eigenaren aan om zo spoedig mogelijk te patchen. Wil je weten of uw webshop ook een veiligheidsupdate nodig heeft? Neem contact met ons op.

Wil je op de hoogte blijven van de laatste ontwikkelingen op het gebied van Magento e-commerce? Schrijf je dan hier in voor onze nieuwsbrief.

West Point Digital.

Wij bouwen webshops.