Commerce and Magento Open Source

Die Schwachstelle betrifft die E-Commerce-Plattform Adobe Commerce sowie deren quelloffene Variante Magento Open Source. Sie beruht auf einer unzureichenden Prüfung von Eingabedaten während des Bestell- und Kassiervorgangs (Checkout) – also genau in dem Bereich, in dem ein Online-Shop Kundendaten und Bestellangaben verarbeitet. Weil eingehende Daten an dieser Stelle nicht ausreichend validiert werden, kann ein Angreifer manipulierte Eingaben einschleusen, die das System fehlerhaft verarbeitet. Im Ergebnis lässt sich beliebiger Code auf dem betroffenen Shop-System ausführen. Besonders kritisch ist, dass für die Ausnutzung keine Interaktion eines Nutzers erforderlich ist: Der Angriff läuft allein über den Checkout-Prozess ab, ohne dass ein Opfer eine Aktion vornehmen oder auf etwas hereinfallen muss. Betroffen sind Betreiber von Online-Shops, die auf Adobe Commerce oder Magento Open Source aufsetzen.