APSB24-03 (2.4.6-p4 / 2.4.5-p6 / 2.4.4-p7)

Magento heeft recent een nieuwe versie / patch APSB24-03 (https://helpx.adobe.com/security/products/magento/apsb24-03.html) uitgebracht. Dit betreft een security-patch waarvan het advies is deze op korte termijn door te voeren. Dat betekent dat de webshop zal moeten worden gepatched naar Magento 2.4.6-p4, 2.4.5-p6 of 2.4.4-p7. 

Prioriteitimpact: moderate

This update resolves vulnerabilities in a product that has historically not been a target for attackers. Adobe recommends administrators install the update at their discretion.

Zie ook https://helpx.adobe.com/security/severity-ratings.html. 

Onderdelen:

• Cross-site Scripting (Stored XSS) (CWE-79) | Critical (alleen kwetsbaar met back-end toegang)

• Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') (CWE-78) | Critical (alleen kwetsbaar met back-end toegang)

• Uncontrolled Resource Consumption (CWE-400) | Important (alleen kwetsbaar met back-end toegang)

• Cross-site Scripting (Stored XSS) (CWE-79) I Important (alleen kwetsbaar met back-end toegang)

• Cross-Site Request Forgery (CSRF) (CWE-352)

Aangepaste bestanden:

In de patch zijn de volgende aanpassingen doorgevoerd: 

magento/framework

Extra validatie op basepath mag niet met - beginnen

Custom blocken hebben nieuwe cache key. D cache key mag alleen letters, cijfers en - of _ bevatten

magento/module-config

Delete file voor config is url geescaped

magento/module-email

Email cache key heeft nieuwe prefix

magento/module-page-cache

Backwards compatibilty voor Controller/Block class die niet goed geimplementeerd was

magento/module-sales-rule

Nieuwe config voor "coupon quantity limit" en bijbehoordend logica. Default waarde is 250.000

testsuite

Verbeteringen in de geautomatiseerde Magento tests.

Toelichting: 

[1] Volledige webshop doorklikken (front-end)

Dit gaat met name om de verschillende entiteiten:

• Homepage

• Categoriepagina

• Productpagina

• Cart

• Check-out