Magento 2
Sicherheitspatch APSB23-50

· magento · 2 Minuten Lesezeit

Am 10.10.2023 wurde ein kritischer Sicherheitspatch für Magento 2 veröffentlicht. Dieser schließt eine Sicherheitslücke, die es Angreifern ermöglicht, Kundendaten auszulesen und zu verändern. Der Patch ist für alle noch unterstützten Magento-2-Versionen verfügbar und sollte sofort installiert werden.

Welche Versionen sind betroffen?

  
Adobe Commerce2.4.7-beta1 und älter
2.4.6-p2 und älter
2.4.5-p4 und älter
2.4.4-p5 und älter
 
Magento Open Source    2.4.7-beta1 und älter    
2.4.6-p2 und älter
2.4.5-p4 und älter
2.4.4-p5 und älter

Man kann also sagen, das aktuell alle getaggten Versionen von Magento 2 betroffen sind und der Patch installiert werden sollte.

Was ist eigentlich los ?

Die Schwachstelle mit der höchsten CVSS-Punktzahl von 8.8 (CVE-2023-38218) besagt, dass es sich um eine nicht authentifizierte Privilegienerweiterung aufgrund einer unsachgemäßen Eingabevalidierung handelt.

Dies bedeutet, dass ein Angreifer, über das REST-API von Magento 2 die Daten eines Kunden auslesen oder auch ändern kann. Dies kann neben dem Verlust von Kundendaten auch zu Bestellungen mit beim Kunden hinterlegten Zahlungsmethoden führen.

Dazu benötigt ein Angreifer zwei Informationen, um einen Angriff durchzuführen:

  • Kunden ID
  • E-Mail-Adresse

Die Notwendigkeit der genauen Kenntnis der Kunden-ID kann umgangen werden, indem jede ID zwischen 1 und [Vom Angreifer erzeugte Kunden ID - 1] ausprobiert wird, bis eine 200er-Antwort empfangen wird. Je nach Anzahl der Kunden in der Datenbank kann das zwischen einigen Sekunden und einigen Minuten dauern.

Wie kann ich mich schützen?

Es gibt 2 Optionen, die Sicherheitslücke zu schließen:

Update

Das Magento Open Source System kann auf eine der folgenden Versionen aktualisiert werden:

  • 2.4.6-p3
  • 2.4.5-p5
  • 2.4.4-p6

Patch

Alterantiv zum Update kann die Sicherheitslücke durch das einspielen eines Patches über z.B. composer geschlossen werden. Dazu kann folgendes Patch angewendet werden:

CVE-2023-38218.patch

composer.json

Weitere Maßnahmen

Da in den wenigsten Themes und Shops der verwendete Endpunkt
PUT /V1/customers/me
genutzt wird, gibt es alterantive Möglichkeiten die Sicherheitslücke kurzfristig zu schließen:

Sperren der Route /V1/customers/me über die Webserver-Konfiguration

nginx Beispiel

location ~ /rest/([^/]*/)?V1/customers/me {
  deny all;
}

Entfernen oder Auskommentieren der Route in der vendor/magento/module-customer/etc/webapi.xml

Unsere Empfehlung ist klar das Anwenden des Patches oder das Update auf eine der oben genannten Versionen.

Du brauchst Unterstützung beim Einspielen oder der Prüfung, ob dein Shop betroffen ist? Dann melde dich gerne bei uns.

Zurück zum Blog
Kostenloses Erstgespräch
Kontakt aufnehmen