CosmicSting / CVE-2024-2961 – sehr kritische Magento 2 Sicherheitslücke – Notfallfix bzw. Patch dringend nötig – 2.4.7-p1, 2.4.6-p6, 2.4.5-p8 bzw. 2.4.4-p9
Es gibt eine scheinbar extrem kritische Sicherheitslücke in Magento 2 Onlineshops. Diese Sicherheitslücke erlaubt es es, private Dateien auszulesen und in Kombination mit einer kürzlich entdeckten Linux-Sicherheitslücke Remote-Code-Ausführung durchzuführen, was Angreifern volle Kontrolle über die betroffenen Systeme ermöglicht (Quelle Maxcluster)
Die Lücke ist als 9.8 von 10 auf der CVSS Skala eingestuft. Es geht somit kaum kritischer. Ein automatisiertes Hacken von Shops ist laut Sansec möglich.
Es ist wohl nötig sofort Maßnahmen zu ergreifen.
Einstufung des Risikos und Gefahr
CVE | 2024-34102 |
---|---|
Type | unauthorized XXE, RCE together with CVE-2024-2961 |
Severity | CVSS 9.8 |
Automatable | no interaction needed |
Exploit | verified by Sansec, not public yet |
Credits | discoverd by spacewasp |
weitere Informationen https://nvd.nist.gov/vuln/detail/CVE-2024-34102
Welche Shop Versionen sind betroffen?
Alle aktuellen Magento 2 Versionen sind scheinbar betroffen und müssen dringend aktualisiert werden, wenn diese noch nicht den neusten Magento Patch haben.
Das ist aktuell wohl 2.4.7-p1, 2.4.6-p6, 2.4.5-p8 bzw. 2.4.4-p9
Wieviele Magento Installationen sind betroffen?
Laut Sansec sind aktuell noch ca. 75% aller Magento 2 Shops davon betroffen!
Lösung für CosmicSting Sicherheitslücke
Zur Lösung sollte dringend zeitnah der aktuellste Magento Patch eingespielt werden 2.4.7-p1, 2.4.6-p6, 2.4.5-p8 oder 2.4.4-p9
vgl. https://experienceleague.adobe.com/en/docs/commerce-operations/release/planning/schedule
Falls dies nicht möglich ist, wird von Sansec empfohlen zumindest den "Hotfix" direkt einzuspielen. Dieser sieht wie folgt aus:
- Sicherstellen das Linux Server auf der aktuellen Version ist
- Notfall fix einspielen
Notfall fix für app/bootstrap.php
. "It will block the majority of CosmicSting attacks. Please note that we provide this fix without warranty." (Es wird somit nicht alles gefixt(!))
if (strpos(file_get_contents('php://input'), 'dataIsURL') !== false) {
header('HTTP/1.1 503 Service Temporarily Unavailable');
header('Status: 503 Service Temporarily Unavailable');
exit;
}
Quelle mit weiteren Infos: https://sansec.io/research/cosmicsting
Weitere Informationen:
CosmicSting https://sansec.io/research/cosmicsting
Magento Patches/Versionen: https://experienceleague.adobe.com/en/docs/commerce-operations/release/planning/schedule