Afgelopen zondag heeft Adobe een Patch uitgegeven voor een kritiek veiligheidslek (CVE-2022-24086, ‘Magento 0-day Vulnerability’) in Adobe Commerce en Magento Open Source. Het gaat om een RCE (Remote Code Execution). CVE-2022-24086 is ‘unauthorized’, wat inhoudt dat de hacker geen inloggegevens nodig heeft om een aanval uit te voeren. Ook hoeft de hacker geen administratieve rol binnen de webshop te hebben. Adobe heeft de schadelijkheid van het lek geschaald op een 9.8/10.
Kwetsbaar zijn zowel Adobe Commerce als Magento Open Source 2.4.3-p1 + eerdere versies alsook 2.3.7-p2 + eerdere versies. Adobe Commerce 2.3.3 en lager zijn niet kwetsbaar.
Nieuws over het lek werd bekend nadat e-commerce security bedrijf Sansec een grootschalige Magecart-aanval ontdekte. Hierbij zijn 500 Magento 1 Webshops slachtoffer geworden.
CVE-2022-24086 (Magento 0-day Vulnerability) oplossen
Je kan CVE-2022-24086 oplossen door de MDVA-49935 patch te installeren. Volg hiervoor de instructies op de website van Adobe.
Wij checken voor al onze klanten of er sprake is geweest van een aanval op hun webshop en installeren voor hun de nieuwe veiligheidspatch. Ben je klant van 3WebApps? Dan hoef je je dus geen zorgen te maken.
Ben je geen klant van 3WebApps en is je webshop gehackt of heb je het gevoel dat er iets niet klopt?