Veel webshops die op het Magento e-commerceplatform draaien, zouden kwetsbaar zijn door een lek in het Zend Framework. Het lek is al gedicht, maar kan nog misbruikt worden als sitebeheerders de benodigde updates niet installeren.
Het lek in het Zend Framework, een opensource-framework waar onder andere Magento gebruik van maakt, kan misbruikt worden via zogenaamde xml external entity-injecties. Hierdoor kan een aanvaller toegang krijgen tot een server en onder andere gegevens uit een database buitmaken. Magento heeft onlangs de gaten in zijn webwinkelsoftware gedicht met updates voor zowel de Community Edition als de Enterprise Edition, nadat het lek ook werd gedicht in recente versies van het Zend Framework.
Volgens onderzoek van de Duitse website Heise Security blijkt een groot aantal webwinkels echter nog geen maatregelen te hebben genomen om het lek te dichten. Uit een steekproef van 50 mogelijk kwetsbare webwinkels bleken 24 Magento-sites nog steeds gekraakt te kunnen worden omdat de laatste updates nog niet zijn geïnstalleerd.
Het in verhouding grote aantal Magento-webwinkels dat kwetsbaar voor de xee-aanvalsmethode is, kan opvallend genoemd worden: het lek is al sinds medio juni bekend en er zijn bovendien exploits publiekelijk beschikbaar. Daarnaast maakt er meer software gebruik van het Zend Framework, waardoor potentieel meer software kwetsbaar kan zijn.
http://tweakers.net/nieuws/83736/veel-magento-webshops-nog-kwetsbaar-door-lek-in-zend-framework.html