Magento heeft op 14 mei 2015 patch SUPEE-5994 vrijgegeven. Deze beveiligingspatch bundelt 7 verschillende beveiligingsissues waarvan er 6 aangeduid worden met een gemiddelde impact volgens het CVSS en betreft alle versies van zowel Magento CE als EE.
Het gros van de kwetsbaarheden geeft informatie prijs wat betreft de Magento installatie. Zo kan een aanvaller bijvoorbeeld het pad naar het dashboard achterhalen. Ook kan een aanvaller een volledig geautomatiseerde aanval opzetten waarbij de adresgegevens van klanten ingezien kan worden. De zwakheid met de hoogste CVSS score is een nieuw XSS-lek dat een aanvaller in staat stelt om informatie van een klant te achterhalen zodra deze op een geprepareerde link klikt, waarbij bijvoorbeeld cookie-informatie achterhaald kan worden.
Gebruikers en beheerders wordt aangeraden om de patch snel te installeren omdat de kwetsbaarheden aanvallers in staat stellen om gegevens van klanten te compromitteren. Uiteraard is het aan te raden de patch eerst op een testomgeving te testen alvorens deze op een productieomgeving te draaien.
De webshops die onder beheer van Slatman IT vallen zijn reeds voorzien van de laatste patches. Neem contact met ons op om te bespreken wat wij voor uw Magento shop kunnen betekenen.