Az Adobe vészesen sebezhetővé tette a Magento webshopokat
Az Adobe kritikus biztonsági rést foltozott be a Magento Open Source és Commerce platformjain, amelyet a kutatók SessionReaper (Munkamenet Kaszás) névre kereszteltek – szerintük ez az egyik legsúlyosabb hiba a termék történetében. A most javított, CVE-2025-54236 kódú sérülékenység lehetővé tette, hogy a támadók hitelesítés nélkül, pusztán a Commerce REST API-n keresztül megszerezzék a vásárlók fiókjait.
Kritikus hiba, amelyet mindenki használ
A Sansec szerint az Adobe már szeptember 4-én figyelmeztette néhány ügyfelét, hogy szeptember 9-re vészfrissítést tervez. Addig a felhőalapú Adobe Commerce szolgáltatásban egy webes szűrő (WAF) próbál védelmet nyújtani. Egyelőre nem érkezett hír sikeres támadásról, ám az első gyorsjavítás múlt héten kiszivárgott, így a csalók előnyhöz juthatnak. A kutatók szerint a kihasználás sikere főként attól függ, hogy a webshop a munkamenet-adatokat a fájlrendszeren tárolja-e – márpedig az alapbeállítás általában ez szokott lenni.
A frissítés fájdalmas lehet, de elengedhetetlen
Az üzemeltetőknek azonnal javasolt letölteni és telepíteni a hibajavítást, mivel annak hiányában a rendszer könnyen támadhatóvá válik, ráadásul az utólagos javításban sem tud sokat segíteni az Adobe. A frissítés néhány Magento belső funkciót, illetve külső vagy egyedi kódokat is problémásan érinthet, főleg a REST API szerkezetének változásai miatt. A szakértők szerint nagy mennyiségű automatizált támadás várható – a SessionReaper könnyen felzárkózhat a korábbi, igen romboló Magento hibákhoz, amelyek lehetővé tették a munkamenet-hamisítást, a jogosultságemelést vagy a rosszindulatú kód futtatását is.
🛒 Az idei ünnepi időszakban az amerikai kiskereskedelmi költekezés 4,2%-kal nőtt az előző évhez képest, főleg az online vásárlásoknak és az elektronikai cikkek iránti kiemelkedő keresletnek köszönhetően...
Az ünnepi szezonban autózók fellélegezhetnek: az Egyesült Államokban az ólommentes benzin átlagára négy éve nem volt ilyen alacsony, 2021 óta most először csökkent 3 dollár (nagyjából 1070 forint) alá gallononként...
🚀 A helyzet egy csapásra megváltozott: a Palo Alto Networks szorosabbra fűzi együttműködését a Google Clouddal, és a legfontosabb belső munkafolyamatokat is átviszi a Google infrastruktúrájára...
A nosztalgiázók örülhetnek: itt az Innioasis Y1, egy olyan MP3-lejátszó, amely szinte teljesen lemásolja az eredeti iPod Classicot, de már USB-C csatlakozóval, 3,5 mm-es jackcsatlakozóval és Bluetooth-támogatással érkezik...
🤖 A Yorki Egyetem kutatói áttörést értek el: egy forradalmian gyors, MI-vezérelt robotrendszerrel százakra rúgó különböző fémkomplexeket állítottak elő, hogy új antibiotikumot találjanak a világszerte terjedő gyógyszerrezisztens fertőzések ellen...
A kansasi Baker University megerősítette, hogy 2024 decemberében jelentős adatszivárgás érte az intézmény hálózatát, amely során támadók több mint 53 ezer ember személyes, egészségügyi és pénzügyi adataihoz jutottak hozzá...
❄ Felmerül a kérdés, mire számíthatunk, ha a Föld egyik legszárazabb helyét vastag hóréteg fedi be, és ezzel megbénítja a világ egyik legnagyobb rádióteleszkópját...
💊 A Novo Nordisk részvényei több mint 7%-ot ugrottak, miután az amerikai Élelmiszer- és Gyógyszerügyi Hatóság (FDA) engedélyezte a dán gyógyszercég első GLP-1 tablettáját, amellyel jelentős előnyhöz jut fő amerikai riválisával, az Eli Lilly-vel szemben...
A kalózoldal Anna’s Archive bejelentette, hogy sikerült lementenie a Spotify teljes zenei könyvtárát, ezzel létrehozva minden idők legnagyobb digitális zenei archívumát...
A világ legnagyobb árnyékkönyvtára, az Anna’s Archive merész lépést tett: biztonsági mentést készített a Spotify legnépszerűbb dalairól, és elérhetővé tette azokat, valamint a hozzájuk tartozó metaadatokat nagyméretű torrentekben...