Commerce and Magento

Die Schwachstelle betrifft die E-Commerce-Plattform Adobe Commerce sowie die quelloffene Variante Magento Open Source. Ursache ist eine unzureichende Prüfung von Eingabedaten (Improper Input Validation): Über die REST-Programmierschnittstelle (REST API) von Commerce gelangen Werte ins System, die nicht ausreichend validiert werden. Ein Angreifer kann dies ausnutzen, um fremde Sitzungen zu übernehmen und so die Kontrolle über Kundenkonten zu erlangen – ohne dass ein Eingreifen oder eine Mitwirkung des betroffenen Nutzers erforderlich ist. Mit der übernommenen Sitzung erhält der Angreifer Zugriff auf die hinterlegten Daten des Kontos und kann in dessen Namen handeln, wodurch sowohl die Vertraulichkeit als auch die Integrität der Kundendaten erheblich beeinträchtigt werden. Betroffen sind Online-Shops, die auf dieser Plattform aufsetzen; da die REST-Schnittstelle für die Anbindung von Shop-Funktionen typischerweise erreichbar ist, steht der Angriffsweg unmittelbar offen.