Open Source im professionellen Einsatz

Magento: Cross-Site-Request-Forgery-Attacken

Magento ist eine Enterprise-Class E-Commeerce Lösung, die vollständig auf Open-Source-Technologie beruht. Geschrieben ist die Softare in PHP und läuft unter Apache im Zusammenspiel von MySQL. Eine kürzlich entdeckte Sicherheitslücke in Magento hat zur Folge, dass ein entfernter Angreifer Cross-Site-Request-Forgery-Attacken gegen die Applikation durchführen kann.

Die Attacke ist über eine einfach URL möglich,die das Opfer lediglich aufrufen muss. Der Programmierfehler befindet sich in den Newslatter Templates, und tritt beim Hinzufügen neuer Templates auf. Dabei kann die HTTP-Request-Methode von POST auf GET umgestellt werden. Dabei wird allerdings der »form_key«-Parameter ignoriert, was die Attacke ermöglicht. So kann der Angreifer auch Admin-Sessions übernehmen. Die Angriffe sind allerdings nur möglich, falls die »Add Secret Keys to URLs«-Option deaktiviert ist.

Betroffen sind die Versionen Magento CE 1 vor 1.9.3.6, Magento Commerce vor 1.14.3.6, Magento 2.0 vor 2.0.16, und Magento 2.1 vor 2.1.9.

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.