Az Adobe vészesen sebezhetővé tette a Magento webshopokat
Az Adobe kritikus biztonsági rést foltozott be a Magento Open Source és Commerce platformjain, amelyet a kutatók SessionReaper (Munkamenet Kaszás) névre kereszteltek – szerintük ez az egyik legsúlyosabb hiba a termék történetében. A most javított, CVE-2025-54236 kódú sérülékenység lehetővé tette, hogy a támadók hitelesítés nélkül, pusztán a Commerce REST API-n keresztül megszerezzék a vásárlók fiókjait.
Kritikus hiba, amelyet mindenki használ
A Sansec szerint az Adobe már szeptember 4-én figyelmeztette néhány ügyfelét, hogy szeptember 9-re vészfrissítést tervez. Addig a felhőalapú Adobe Commerce szolgáltatásban egy webes szűrő (WAF) próbál védelmet nyújtani. Egyelőre nem érkezett hír sikeres támadásról, ám az első gyorsjavítás múlt héten kiszivárgott, így a csalók előnyhöz juthatnak. A kutatók szerint a kihasználás sikere főként attól függ, hogy a webshop a munkamenet-adatokat a fájlrendszeren tárolja-e – márpedig az alapbeállítás általában ez szokott lenni.
A frissítés fájdalmas lehet, de elengedhetetlen
Az üzemeltetőknek azonnal javasolt letölteni és telepíteni a hibajavítást, mivel annak hiányában a rendszer könnyen támadhatóvá válik, ráadásul az utólagos javításban sem tud sokat segíteni az Adobe. A frissítés néhány Magento belső funkciót, illetve külső vagy egyedi kódokat is problémásan érinthet, főleg a REST API szerkezetének változásai miatt. A szakértők szerint nagy mennyiségű automatizált támadás várható – a SessionReaper könnyen felzárkózhat a korábbi, igen romboló Magento hibákhoz, amelyek lehetővé tették a munkamenet-hamisítást, a jogosultságemelést vagy a rosszindulatú kód futtatását is.
Több mint ötven év után újra amerikai asztronauták indultak a Hold felé: a NASA történelmi Artemis II missziója ragyogóan startolt el Cape Canaveralból, és lelkes nézők ezrei töltötték meg a kilövőközpont környékét...
🤖 Különösen említést érdemel, hogy a vastagbélrák – amely az Egyesült Királyságban a negyedik leggyakoribb daganat, és a daganatos halálozás második fő oka – meglepő módon egyedi mikrobiális „ujjlenyomattal” rendelkezik...
🚗 Megérkezett a régóta várt iOS 26.4 frissítés, amely először teszi lehetővé harmadik féltől származó MI-chatbotok használatát az Apple CarPlay rendszerében...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Dungeon Survival (iPhone/iPad)A játék minden alkalommal új, véletlenszerűen generált barlangszinteket kínál, így mindig más kaland vár...
A Nomad bemutatta legújabb Tracking Card Air-jét, amely már támogatja a Google Eszközkeresés (Find My Device) hálózatát is, és egyetlen töltéssel akár hét hónapig működik...
Megtörtént, amire minden űrrajongó régóta várt: négy bátor űrhajós elstartolt a floridai Kennedy Űrközpontból, és belekezdtek egy tíznapos, felsőkategóriás körútra a Hold körül...
Több mint félmillió sornyi forráskód szivárgott ki az Anthropic Claude Code MI-rendszeréből, amely eddig ismeretlen újításokat és rejtett funkciókat leplezett le...
Különösen igaz ez most, amikor a megújuló energia egyre nagyobb szeletet hasít ki a világ energiaellátásából, miközben a fosszilis energiahordozók továbbra is markánsan jelen vannak...
Két szoftveres kutató most különösen pimasz módon mutatta be, milyen gyorsan képes a modern mesterséges intelligencia egész nyílt forráskódú projekteket újjáalkotni...
✈ Végre megérkezett az a menüpont, amire mindenki vágyott: a United mostantól mutatja a beszállás előtti biztonsági ellenőrzések várakozási idejét az appban – vagyis, ha épp eszméletlenül hosszú sorok kígyóznak, pontosan tudhatod, mennyit fogsz unatkozni multitasking közben a poggyászoddal...
Japánban egyre komolyabban veszik a lebegő adatközpontok fejlesztését. A Mitsui OSK Lines (MOL) és a Hitachi most együttműködést kötött, hogy 2027-re egy használt hajóból alakítsanak ki egy úszó szerverfarmot, amely hűtéséhez tengervizet vagy folyóvizet használna...
