Hypernode-magento-importer

Zojuist zijn we door onze partner Guapa getipt op een lek in de populaire Magento extensie: Fooman Pdf Customizer. Het lek is dusdanig ernstig dat we iedereen aanraden deze plugin zo snel mogelijk te updaten.  

Deze blogpost is geschreven door Steven de Jong, Magento developer bij Guapa en oorspronkelijk verschenen op het blog van Guapa.  

Vorige week vonden we een beveiligingslek in de Fooman Pdf Customizer. Bij het onderzoeken van enkele functionaliteiten voor een van onze klanten ontdekten we de volgende bug: gastgebruikers kunnen de facturen, verzendingen en creditmemo’s van andere klanten bekijken. De gegevens zijn eenvoudig toegankelijk wanneer iemand de print-URL van zijn ordergegevens bekijkt. (https://webshop.test/sales/guest/printInvoice/invoice_id/*/).

Wanneer een klant de asterix naar een ID wijzigt die lager is dan die van hemzelf, worden de gegevens van de bestelling van andere klanten weergegeven. Als je de meest recente factuur bent, kan elke ID onder die van jou worden gecontroleerd.

De bug werd eerst gemeld aan Fooman vanwege het potentiële risico voor klantgegevens. Fooman heeft vandaag een update uitgebracht en nu is het juiste moment om alle andere Magento2 webshopeigenaars te informeren. Fooman heeft de module zo snel mogelijk bijgewerkt en we raden je ten zeerste aan deze update te installeren.

Als updaten nu geen optie is, wijzig dan de code van de Guest Plugins in de Fooman PDF-customizer om ook de $this->orderViewAuthorization->canView ($invoiceOrder) voor de gefactureerde bestelling te controleren. We hebben ook composer patch gemaakt voor het lek. Patches zijn hier te vinden:

Het installeren van composer patches wordt hier uitgelegd.

We raden u ten zeerste aan zo snel mogelijk te updaten, aangezien het lek nu openbaar is en zelfs voor niet-ontwikkelaars toegankelijk is.

 

Scan je eigen Magento shop op veiligheidslekken