Kritisches Sicherheitsupdate: Magento SUPEE-6285

8. Juli 2015

Gestern hat das Magento Team neben den bereits bekannten Patches SUPEE-5344 und SUPEE-5994, einen weiteren kritischen Sicherheitspatch mit dem Namen SUPEE-6285 veröffentlicht.

Betroffen sind alle Magento Versionen kleiner 1.9.2!

Laut Changelog wurden folgende Lücken geschlossen:

Customer Information Leak via RSS and Privilege Escalation: Fehlerhafte Checks führen dazu das Kundeninformationen (Bestellinfos, Bestell IDs, Kundenname) ausgelesen werden können. Mit diesen Daten sind weitere Angriffe auf Gastbestellungen möglich. In seltenen Fällen können Admin-Rechte erlangt werden!

Request Forgery in Magento Connect Leads to Code Execution: CSRF im Magento Connect Manager erlaubt die Installation von Modulen wenn ein eingeloggter Shop-Administrator auf einen präparierten Link klickt.

Cross-site Scripting in Wishlist: Ermöglicht den Versand von Phishing eMails über den Shop.

Cross-site Scripting in Cart: Über URL-Parameter kann JavaScript in den Checkout injiziert werden, dies ermöglicht das abgreifen von Cookie-Informationen. Mit Hilfe der Cookie Informationen kann sich der Angreifer als Kunde des Shops ausgeben.

Store Path Disclosure: Durch direkten Aufruf von Magento Connect URLs werden Fehlerseiten, unabhängig der Servereinstellung, generiert die Informationen zum Installationspfad des Shops enthalten.

Permissions on Log Files too Broad: Dateirechte von Logfiles sind zu offen, Kunden des gleichen Servers können die Logs anderer Kunden auslesen oder manipulieren. (Wir kapseln unsere Kunden in kleinen Containern, ein Übergriff ist somit nicht möglich. :))

Cross-site Scripting in Admin: Injektion von Javascript im Adminbereich ermöglicht die Übername eines anderen Admin-Accounts.

Cross-site Scripting in Orders RSS: Ermöglicht das einfügen von falschen Informationen in den „Neue Bestellungen“ RSS-Feed.

Wie wir bereits aus SUPEE-5344 und SUPEE-5994 gelernt haben sind ungepatchten Magento Versionen nach 48h erfolgreich angegriffen worden, die Patches sollten daher schnellstmöglich eingespielt werden!

Für unsere Kunden bieten wir wie immer einen Patch-Service zum Pauschalpreis an, öffnet zur Beauftragung der Patches ein Support-Ticket im Kundencenter. Wir kümmern uns kurzfristig darum 🙂

Ebenfalls interessant

17 Jahre rack::SPEED und ein besonderes Jubiläumsangebot

Seit 17 Jahren liefern wir hochperformante und flexible Hosting- und Serverlösungen mit einzigartigem Kundensupport für die täglichen Herausforderungen des Online-Business.…

PHP 8.4 & Imagick für PHP 8.3 - Mehr Performance und neue Möglichkeiten

Gute Nachrichten für alle Entwickler und Agenturen: Ab sofort sind PHP 8.4 und Imagick für PHP 8.3 bei uns erhältlich.…

PCI DSS 4.0 - Was du jetzt wissen musst

Ab dem 31. März 2025 wird die Einhaltung des Payment Card Industry Data Security Standard (PCI DSS) 4.0 für alle…

Beratung

+49 (0)211-93673737

Notfall

0800 - RACKSPEED

Erreichbarkeit

Mo - Fr: 09:00 - 18:00

Unsere Adresse

In der Steele 35, 40599 Düsseldorf

rack::SPEED Logo

Hier bekommst du erstklassiges Webhosting mit beispiellosem Support. Wir haben schnelle, sichere und skalierbare Lösungen für jede Website!

Facebook Twitter Vk

Hosting Lösungen

Kunden

rack::SPEED

Allianz für Cybersicherheit Logo
Bundesverband IT-Mittelstand Logo
Ripe NCC Member Logo
UP KRITIS Logo
Software hosted in Germany Logo
ESG Siegel 2025

Alle Preise zzgl. 19% MwSt. - Alle Angebote richten sich ausschließlich an Gewerbetreibende, Freiberufler, Verbände und Behörden.
© 2008 - 2025 rackspeed.de

Wird mit einer Frist von einem Monat zum Ende des Abrechnungszeitraumes der Vertrag nicht gekündigt, verlängert sich dieser automatisch um die Dauer des jeweiligen Abrechnungszeitraumes. Alle Entgelte sind für den jeweiligen Abrechnungszeitraum im voraus zu zahlen. Darüber hinaus gelten unsere Preisliste und AGB.