Magento 2.2.7 und 2.1.16 Security Update

SicherheitMagento
Manuela Mörmel

Magento hat am 28. November 2018 die neuen Sicherheitsupdates 2.1.16 und Magento 2.2.7 veröffentlicht. Damit werden unter anderem Sicherheitslücken mit einer hohen Bedrohungsstufe geschlossen.

Geschlossene Sicherheitslücken in Magento 2.2.7 und 2.1.16

Zu den Risiken gehören unter anderem Remote Code Execution (RCE). Im Folgenden werden wir die Sicherheitslücken mit den höchsten Bedrohungsstufen vorstellen.

  • Hohes Risiko (9.1): PRODSECBUG-2122
    Ein Administrator mit Zugriff auf die Konfiguration der Braintree-Zahlungsmethode kann eine RCE durch Einfügen eines PHP-Objektes ausführen.

  • Hohes Risiko (9.1): PRODSECBUG-2123
    Ein Administrator mit Zugriff auf die Designkonfiguration sowie Konfigurationseinstellungen von Varnish könnte eine RCE durch Einfügen eines PHP-Objektes ausführen.

  • Hohes Risiko (9.0): PRODSECBUG-2160
    Bei dieser Sicherheitslücke ist ein unautorisierter Datei Upload über Kundenattribute möglich.

  • Hohes Risiko (8.8): PRODSECBUG-2151
    Administratoren mit eingeschränkter Berechtigung können eine nicht autorisierte Vorlage mit der Pfaddurchlauffunktion hochladen. Auch wenn die meisten Formulare diese Upload Art nicht unterstützen, könnte ein Angreifer ein Produkt mit benutzerdefinierten Dateioptionen erstellen, die eine solche Vorlagendatei akzeptieren.

  • Hohes Risiko (8.5): PRODSECBUG-2154
    Bei dieser Schwachstelle ist es einem Angreifer möglich, nicht autorisierte Dateien hochzuladen, während er ein herunterladbares Produkt erstellt.

Weitere Informationen zu den geschlossenen Sicherheitslücken durch Magento 2.2.7 finden Sie in den Tech Resources.

Handlungsempfehlung

Wir empfehlen das für Ihre Version passende Update zu installieren. Dieses können Sie in den Magento Tech Resources herunterladen.

Sollten Sie Fragen oder Probleme haben, unterstützt unser Team Sie gern. Kontaktieren Sie hierfür bitte unseren Support via E-Mail support@maxcluster.de oder telefonisch unter 05251/41 41 30.