Das Magento Team weist am heutigen Tag auf eine seit längerer Zeit bekannte Sicherheitslücke in seiner eCommerce-Software hin.
Die Funktion für das hinzufügen eines Vimeo-Videos kann für den Upload beliebigen Codes auf den Server missbraucht werden. Es ist möglich eine .htaccess-Datei ins Upload-Verzeichnis einzuschleusen, mit Hilfe derer dort das Ausführen von PHP-Code erlaubt werden kann. Anschießend kann nun eine PHP-Datei mit beliebigen Code hochgeladen und ausgeführt werden.
Eine genaue Beschreibung des Fehler kann der unten angeführten Quelle entnommen werden.
Derzeit steht noch kein Security-Patch seitens Magento zur Verfügung. Dieser ist für Anfang Mai angekündigt. Die Lücke ist Magento seit Mitte September bekannt – ein öffentliches Statement erfolgte nun, nachdem eine genaue Beschreibung veröffentlicht wurde, die die nötigen Details zum Ausnutzen des Sicherheitslecks enthält.
Es wird dringend empfohlen die Option „Add Secret Key to URLs“ zu verwenden. Gehen Sie dazu wie folgt vor:
- Loggen Sie sich in den Admin-Bereich Ihres Shops ein.
- Gehen Sie zu Stores > Configuration > ADVANCED > Admin > Security > Add Secret Key to URLs
- Wählen Sie aus der Auswahlliste die Option „Yes“
- Speichern Sie die Einstellung
Quelle: http://www.defensecode.com/advisories/DC-2017-04-003_Magento_Arbitrary_File_Upload.pdf
