Commerce and Magento Open Source

Die Schwachstelle betrifft die E-Commerce-Plattform Adobe Commerce sowie deren quelloffene Variante Magento Open Source. Sie liegt in der Verarbeitung von XML-Dokumenten: Die Software schränkt die Verwendung externer Entitäten innerhalb von XML nicht ausreichend ein (XML External Entity, XXE). Ein Angreifer kann diese Schwäche ausnutzen, indem er ein speziell präpariertes XML-Dokument einschleust, das auf externe Entitäten verweist. Dadurch lässt sich beliebiger Programmcode auf dem betroffenen System ausführen, was einem Angreifer weitreichende Kontrolle verschaffen kann. Der Angriff erfordert keinerlei Benutzerinteraktion, läuft also ohne Zutun eines Opfers ab. Betroffen sind Betreiber von Online-Shops, die auf Adobe Commerce oder Magento Open Source aufsetzen – da solche Systeme häufig direkt aus dem Internet erreichbar sind und sensible Kunden- und Zahlungsdaten verarbeiten, ist eine vollständige Übernahme der Verkaufsplattform besonders folgenreich.