Angreifer missbrauchen derzeit eine Sicherheitslücke in den Shop-Systemen Adobe Commerce und Magento Open Source, berichtet Adobe. Die Schwachstelle erläutert das Unternehmen nicht genauer. Lediglich, dass Angreifer aufgrund einer ungenügenden Eingabeüberprüfung Schadcode einschleusen und ausführen können, verrät die Warnung von Adobe (CVE-2022-24086, CVSS 9.8, Risiko kritisch). Betroffen sind die Software-Versionen Adobe Commerce und Magento Open Source 2.4.3-p1 sowie 2.3.7-p2 und vorhergehende. Adobe Commerce 2.3.3 und ältere Versionen seien nicht anfällig, schreibt Adobe in der Sicherheitsmeldung. Der Hersteller stellt für beide Software-Pakete die Version 2.4.3-p1_v1 als Patch zum Download bereit. Das IT-Sicherheitsunternehmen Sansec hat zudem um die 500 Magento-Shop-Systeme entdeckt, die mit einem sogenannten Web-Skimmer infiziert waren. Dabei manipulieren die Cyberkriminellen die Shop-Software so, dass sie etwa die Zahlungsinformationen wie Kreditkartendaten abgreifen können. Die Angreifer hätten dabei eine bekannte Sicherheitslücke im Quick-View-Plug-in für die Einbrüche ausgenutzt. Allerdings sind Magento-1.x-Installationen Ziel dieser Skimming-Angriffe gewesen. Adobe hat den Support für Magento 1.xbereits am 30. Juli 2020 eingestellt. Hier müssen die Betreiber auf die neueren Versionen umsteigen. Laut Sicherheitsmeldung von Sansec stellen jedoch einige Projekte auch für die alten Versionen noch Patches bereit. Da die Sicherheitslücken aktiv ausgenutzt werden, sollten Shop-Administratoren äußerst zügig überprüfen, ob sie eine verwundbare Software-Version einsetzen und gegebenenfalls die verfügbaren Patches installieren.