Security: Magento Update SUPEE-10570

-Magento 2

Security: Magento Update SUPEE-10570

Zojuist is er door Magento een nieuwe security update vrijgegeven voor Magento 1 Open Source en Commerce. De security update SUPEE-10570 bevat meerdere beveiligingsverbeteringen, voor het afsluiten van 'Remote Code Execution' (RCE), 'cross-site scripting' (XSS) en andere problemen die wij hieronder benoemen.

Deze patch is voor alle Magento Open Source en Commerce versies. Voer de patch uit om alle beveiligingslekken te dichten of update Magento Open Source naar 1.9.3.8. en Magento Commerce naar 1.14.3.8.

Wat zijn de 19 lekken van SUPEE-10570?

  • ✓ APPSEC-1932: Remote Code Execution Using XML Injection
          CVSSv3 Severity: 9.8 (High)

  • ✓ APPSEC-1938: Remote Code Execution - additional fix not included in SUPEE-9652
          CVSSv3 Severity: 9.8 (High)

  • ✓ APPSEC-1964: Remote Code Execution by (semi-)arbitrary file deletion for admin users with access to Import.
          CVSSv3 Severity: 9.8 (High)

  • ✓ APPSEC-2000: Remote Code Execution in Staging Environment
          CVSSv3 Severity: 7.2 (High)

  • ✓ APPSEC-1944: Cross-Site Request Forgery in Store Backups
          CVSSv3 Severity: 6.4 (Medium)

  • ✓ APPSEC-1878/1890: Cross-site Scripting in CMS hierarchy
          CVSSv3 Severity: 5.0 (Medium)

  • ✓ APPSEC-1908/1948: Cross-site Scripting in Custom Variables
          CVSSv3 Severity: 5.0 (Medium)

  • ✓ APPSEC-1916: Cross-site Scripting in Attribute Group Name
          CVSSv3 Severity: 5.0 (Medium)

  • ✓ APPSEC-1928: Cross-site Scripting in Downloadable Products
          CVSSv3 Severity: 5.0 (Medium)

  • ✓ APPSEC-1945: Cross-site Scripting in Product SKU
          CVSSv3 Severity: -

  • ✓ APPSEC-1973: Cross-site Scripting in Newsletter Template
          CVSSv3 Severity: 5.0 (Medium)

  • ✓ APPSEC-1873/1979/1980: Cross-site Scripting in Site Settings
          CVSSv3 Severity: 5.0 (Medium)

  • ✓ APPSEC-1995: Cross-site Scripting in Downloadable Products
          CVSSv3 Severity: 5.0 (Medium)

  • ✓ APPSEC-1889: Cross-Site Request Forgery Protection Bypass
          CVSSv3 Severity: 4.9 (Medium)

  • ✓ APPSEC-1553: Access to Gift Registries of Other Users
          CVSSv3 Severity: 4.8 (Medium)

  • ✓ APPSEC-1026: Session Management
          CVSSv3 Severity: 3.9 (Low)

  • ✓ APPSEC-1937: Insufficient privilege seperation
          CVSSv3 Severity: 3.9 (Low)

  • ✓ APPSEC-1967: Password Change Session Management
          CVSSv3 Severity: 3.4 (Low)

  • ✓ APPSEC-1972: Password Reset Session Management
          CVSSv3 Severity: 3.4 (Low)

Wij raden webshop eigenaren aan om zo spoedig mogelijk te patchen. Wil je weten of uw webshop ook een veiligheidsupdate nodig heeft? Neem contact met ons op.

Wil je op de hoogte blijven van de laatste ontwikkelingen op het gebied van Magento e-commerce? Schrijf je dan hier in voor onze nieuwsbrief.

West Point Digital.

Wij bouwen webshops.