Schon seit November 2016 weiß Magento über die kritische Sicherheitslücke im System Bescheid, bisher wurde sie aber noch nicht geschlossen. Nun soll es bald einen Patch für das Problem geben.
Glück im Unglück: Die Sicherheitslücke betrifft nicht alle Magento-Online-Shops. Nur die Shop-Besitzer, die in den Einstellungen die Option „Add Secret Key to URLs“ nicht aktiviert haben, müssen befürchten, dass Angreifer Schadcode ausführen könnten. Denn wenn Hacker es schaffen, Nutzer des Magento-Shops auf eine manipulierte Internetseite zu locken, können sie beliebig Schadcode ausführen. Dafür müssen sich die Angreifer nicht einmal anstrengen – für einen Angriff müssen sie sich lediglich in ihrem Magento-System einloggen.
Magento erklärte nun, dass die Sicherheitslücke im nächsten Magento-Release gepatcht werden solle. Bisher wurde die Lücke scheinbar aber noch nicht ausgenutzt. Um sich vor solchen Angriffen zu schützen, wird dringend empfohlen, die „Add Secret Key to URLs“-Option standardmäßig aktiviert zu lassen und diese Einstellung nicht zu ändern.