Neuer Magento Patch SUPEE-6285

Gestern Abend wurde ein neuer Sicherheitspatch für Magento eCommerce veröffentlicht. Dieser Patch adressiert folgende Punkte:

– Der Patch verhindert, dass Angreifer sich als Administrator ausgeben können um Zugriff auf den Feed der letzten Bestellungen zu erhalten. Der Feed enthält persönliche, identifiezierbare Informationen, welche für Folgeangriffe verwendet werden könnten. Prüfen Sie bereits erfolgte Kompromittierung durch Analyse der Log-Dateien des Servers bei Aufrufen der Url /rss/NEW.
– Der Patch schließt eine Reihe von Sicherheitslücken, einschließlich Cross-Site Scripting (XSS), Cross- Site Request Forgery (CSRF) und Offenlegung von Schwachstellen in den Pfadangaben bei Fehlerausgaben.

Wir empfehlen allen, diesen Patch einspielen zu lassen. Kunden mit einem Wartungsvertrag wurden bereits aktualisiert.

Tobias Schifftner

Tobias Schifftner ist Magento Certified Developer und Geschäftsführer der ambimax® GmbH.