Artikel top billede

Alvorligt sikkerhedshul: Webbutikker kan være i fare

Webbutikker kan rammes af en alvorlig sikkerhedsfejl. Hackere kan opnå administratorrettigheder blot ved at registrere sig som kunder. Firmaet bag systemet har kendt til fejlen i to måneder.

Netbutikker verden over kan blive ramt af svindlere, der udnytter en svaghed i onlinehandelsplatformen Magento, rapporterer Ars Technica.

Problemet, som blev opdaget af sikkerhedsfirmaet Sucuri, ligger i en cross-site scripting fejl (XSS), som lader udefrakommende tilføje script til netbutikker, som kører Magento enterprise edition eller Comunity edition.

Luskede typer kan nemlig tilføje et Javascript, når de registrerer sig som kunder i netbutikkerne. Magento eksekverer scriptet og vupti, så kan man overtage netbutikkens server.

"Angribere kan bruge den her svaghed til at overtage din hjemmeside, oprette administratorkonti, stjæle kundedata, alt hvad en reel administrator har lov til at gøre," forklarer vulnerability researcher hos Sucuri, Marc-Alexandre Montpas, på Sucuris hjemmeside.

To måneder uden en rettelse

Selvom der er tale om en alvorlig fejl, som potentielt kan påvirke millioner af netbutikker, havde Magento tilsyneladende ikke travlt med at rette den.

Sucuri opdagede fejlen 10. november sidste år og meldte den straks til Magento.

Men der måtte næsten en måned og en rykker til, før Magento overhovedet anerkendte, at firmaet havde modtaget advarslen, og først 20. januar var Magento klar med et patch, forklarer Sucuri.

Sådan løser du problemet

Nu hvor Magento har udgivet et patch, er problemet heldigvis hurtigt løst. Men hvis du bruger en version af Magento, der er ældre end Enterpise 1.14.2.3 eller Community 1.9.2.3, skal du skynde dig at opdatere.

Og så kan du for resten trøste dig med, at du er i godt selskab.

Magento bryster sig nemlig af sine berømte kunder. Og det er ikke amatører, der sælger hjemmehæklede sokker fra dagligstuen, men giganter som Nike og Olympus, som bruger Magentos platform.

Det kan man se på Magentos hjemmeside, som pudsigt nok ikke gør et større nummer ud af det nyeste patch.

Læs også: Alle danske webbutikker skal linke til dette site om en måned




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
SAP Excellence Day 2023

På SAP Excellence Day 2023 får du det fulde overblik, der gør det lettere at prioritere mellem de mange muligheder og informeret grundlag for at vælge til og fra. Du får viden om, hvilke muligheder de nye tilbud og services giver – men også om risikoen ved at vælge de nyeste løsninger fra. Samtidig får du senest opdaterede indsigt i SAPs egne planer for de kommende 2-3 år.

13. april 2023 | Læs mere


Digitale forretningsprocesser 2023

Virksomhedens digitale processer er fuldkommen afgørende for, hvor hurtigt du kan transformere forretningen, udvikle nye forretningsmuligheder skabe overblik og rapportere effektivt, hurtigt og retvisende. Samtidig er de digitale processer – i tæt samspil med dine systemløsninger – afgørende for samarbejdet med partnere og leverandører – og for den oplevelse og værdiskabelse, du tilbyder ansatte og kunder. Herunder for ambitionerne om at skabe og tilpasse de muligheder, der karakteriserer en moderne arbejdsplads.

18. april 2023 | Læs mere


Digital bæredygtighed - den grønne transformation er over os

Kom med, når vi i giver et overblik over, hvordan nogle af de mest innovative it-selskaber går til bæredygtighed som forretningsområde - og hvorfor de har valgt at sætte ind på netop bæredygtighed som område. Du får også indblik i, hvordan innovative virksomheder udvikler teknologier direkte rettet mod øget bæredygtighed - og inspiration til, hvordan du selv kan komme videre med bæredygtigheden og blive en del af det spirende kæmpemarked for bæredygtighed - en af verdens for tiden tungeste dagsordener.

25. april 2023 | Læs mere