Magento-Schwachstelle ermöglicht unberechtigten Zugriff und Übernahme von Konten
Autor: info@thehackernews.com (The Hacker News)
Zusammenfassung
Sicherheitsforscher warnen vor einer kritischen Sicherheitslücke im Magento-REST-API, die es Angreifern ohne Authentifizierung ermöglicht, willkürliche Dateien hochzuladen und damit Schadcode auszuführen sowie Konten zu übernehmen. Die Schwachstelle wird als "PolyShell" bezeichnet, da der Angriff darauf abzielt, bösartigen Code als Bild zu tarnen.
Sansec is warning of a critical security flaw in Magento's REST API that could allow unauthenticated attackers to upload arbitrary executables and achieve code execution and account takeover.
The vulnerability has been codenamed PolyShell by Sansec owing to the fact that the attack hinges on disguising malicious code as an image. There is no evidence that the shortcoming has been exploited in
Quelle: thehackernews.com