Kritische Sicherheitslücke in Adobe Commerce und Adobe Magento

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete am 12. Juni 2024 mehrere Schwachstellen in den Produkten Commerce, Commerce Webhooks Plugin und Magento Open Source des Herstellers Adobe. Unter diesen Sicherheitslücken befinde sich mit CVE-2024-34102 laut dem Sicherheitsforscher Sergey Temnikov eine besonders kritische. CVE-2024-34102 hat einen CVSS-Score von 9.8, befindet sich im Parser der Programme für XML-Inhalte und ist auch als CosmicSting bekannt.

Angreifende können über die Schwachstelle maliziöse XML-Dokumente einschleusen. Dies ermöglicht den Kriminellen wiederum Remote Code Execution (RCE). Temnikov zufolge ist CVE-2024-34102 wesentlich einfacher auszunutzen als ursprünglich angenommen. 

Adobe stellt seit dem 11. Juni 2024 Updates für die Webshop-Softwarekomponenten bereit. Diese beheben unter anderem CVE-2024-34102. Laut dem Sicherheits-Software-Anbieter Sansec sind jedoch zum Stand 18. Juni 2024 noch 75 % der auf Adobe Commerce und Magento basierenden Webshops verwundbar.

Folgende Versionen der Programme sind von der Sicherheitslücke betroffen:

Adobe Commerce

• 2.4.7 (und älter)
• 2.4.6-p5 (und älter)
• 2.4.5-p7 (und älter)
• 2.4.4-p8 (und älter)

Adobe Commerce Extended Support Program

• 2.4.3-ext-7 (und älter)
• 2.4.2-ext-7 (und älter)
• 2.4.1-ext-7 (und älter)
• 2.4.0-ext-7 (und älter)
• 2.3.7-p4-ext-7 (und älter)

Adobe Commerce Webhooks Plugin

• 1.2.0 bis 1.4.0 („Manuelle Plugin-Installationen“)

Adobe Magento Open Source

• 2.4.7 (und älter)
• 2.4.6-p5 (und älter)
• 2.4.5-p7 (und älter)
• 2.4.4-p8 (und älter)

CVE-2024-34102 ist eine kritische Sicherheitslücke, durch deren Ausnutzung Kriminelle Webshops übernehmen und beliebig manipulieren können. Angreifende könnten über kompromittierte Shops Malware verteilen, ahnungslose Nutzende betrügen oder die Shops in Botnets integrieren.

Angriffe auf verwundbare Webshops sollen angeblich automatisierbar sein, was eine potenzielle massenhafte Ausnutzung erheblich vereinfacht. Proofs of Concept oder Exploits sind noch nicht bekannt. Dies sei jedoch nach Adobes Ansicht nur eine Frage der Zeit.

Dass Nutzende die vom Hersteller bereitgestellten Patches nur schleppend einspielen, erhöht für Kriminelle die Attraktivität der Schwachstelle enorm. Da in Deutschland Webshops auf den Adobe-Commerce- und Magento-Plattformen betrieben werden, sollten Nutzende auch hier mit Angriffsversuchen rechnen.

• Installieren Sie umgehend die von Adobe bereitgestellten Updates zu Ihrer Programm-Version. 
• Wenn Sie Updates nicht zeitnah installieren können, verwenden Sie übergangsweise den inoffiziellen Notfall-Patch von Sansec. Diesen Fix müssen Sie manuell in den Quelldateien der Programme integrieren.