Magento 2.2.1, 2.1.10 & 2.0.17 security Release Notes

Op 7 november heeft Magento versie 2.2.1, 2.1.10 en 2.0.17 uitgerold, deze upgrades bevatten een aantal security verbeteringen.

Deze upgrade van Magento 2 bevat een aantal security verbeteringen voor Cross-Site Scripting (XSS), Local File Inclusion (LFI), authenticated Admin user remote code execution (RCE) en Arbitrary File Delete vulnerabilities.

In het kort wat deze update allemaal verbeterd:

  • Stored XSS in Billing Agreements
  • PHP Object Injection in E-mail templates leading to Remote Code Execution
  • PHP Object Injection in product attributes leading to Remote Code Execution
  • PHP Object Injection in product entries leading to Remote Code Execution
  • PHP Object Injection in Downloadable Products leading to Remote Code Execution
  • PHP Object Injection in product metadata leading to Remote Code Execution
  • Remote Code Execution by leveraging 1st stage unsanitized form input
  • Local File Inclusion (LFI) in Import History
  • PHP Object Injection in Widgets leading to Remote Code Execution
  • PHP Object Injection in Zend Framework leading to Arbitrary File Deletion

De bovenstaande opsomming is slechts een kleine greep uit het enorme aantal aanpassingen, voor uitgebreide informatie verwijzen we je naar de officiele website van Magento.

Let op! Updaten is niet geheel zonder risico, maak daarom altijd een back-up, test uitvoerig of laat de update(s) uitvoeren door een gespecialiseerde partij (dat kunt u gerust overlaten aan Vicus).