Die mit dem Patch geschlossenen Sicherheitslücken betreffen Installationen der Magento Community Edition vor Version 1.9.3.3 und der Magento Enterprise Edition vor Version 1.14.3.3 - hier ein Auszug:
- APPSEC-1281 (8.8 - hoch)
Unter Umständen kann von einem Angreifer Schadcode hochgeladen und ausgeführt werden (Verwendung von AllowSynlinks). - APPSEC-1777 (8.8 - hoch)
Unter Umständen kann von einem Angreifer Schadcode hochgeladen und ausgeführt werden (Verwendung von DataFlow). - APPSEC-1686 (8.8 - hoch)
Unter Umständen kann von einem Angreifer Schadcode hochgeladen und ausgeführt werden (Verwendung von CMS-Seiten). - APPSEC-1320 (8.8 - hoch)
Verwundbarkeit für SQL Injection Agriffe im Visual Merchandiser. - APPSEC-1634 (8.7 - hoch)
Verwundbarkeit über Cross-Site Scripting (XSS) in verschiedenen Tabellen. - APPSEC-1759 (8.1 - hoch)
Verwundbarkeit über Cross-Site Scripting (XSS) über die Konfiguration. - APPSEC-1549 (8.0 - hoch)
Verwundbarkeit für Cross-Site Request Forgery (CSRF) über nicht invalidierte form keys nach dem Logout. - Diverse weitere mittlere und geringere Sicherheitslücken.
Magento SUPEE-9767 installieren
Bitte beachten Sie: Die Installation des Patches Magento SUPEE-9767 kann Inkompatibilitäten mit installierten Plug-Ins mit sich bringen. Eine Installation ist daher in jedem Fall auf einem eigenen Entwicklungsserver vorzunehmen, um die Funktionalität Ihres Livesystems nicht zu gefährden.