Diese Wikiseite dient als zentrale Informationsseite für alle Magento Patches.

Es können gerne auch noch weitere Infos ergänzt werden.

SUPEE-10497

  • veröffentlicht am 13.12.2017
  • Patch verfügbar für Magento CE 1.9.1.1, betrifft nur diese Version
  • ersetzt Patches SUPEE-10266 (14.09.2017) and SUPEE-10415 (28.11.2017)

SUPEE-10415

  • veröffentlicht am 28.11.2017
  • enthalten in Magento CE 1.9.3.7
  • Patch verfügbar für Magento CE 1.9.0.0-1.14.3.7
  • Remote Code Execution by leveraging unsafe unserialization (APPSEC-1894)
  • Remote Code Execution in CMS Page Area (APPSEC-1915)
  • Stored XSS in Billing Agreements (APPSEC-1325)
  • PHP Object Injection in product attributes leading to Remote Code Execution (APPSEC-1830)
  • weitere Details

SUPEE-10266

  • veröffentlicht am 14.09.2017
  • enthalten in Magento CE 1.9.3.6
  • Patch verfügbar für Magento CE 1.9.0.0-1.14.3.4
  • Privilege Escalation in SS session admin cookie (APPSEC-1838)
  • Remote Code Execution in CMS and layouts (APPSEC-1800)
  • Information Leak of Magento secret key (APPSEC-1835)
  • weitere Details

SUPEE-9767

  • veröffentlicht am 31.05.2017
  • enthalten in Magento CE 1.9.3.3
  • Patch verfügbar für Magento CE 1.5.0.1-1.9.3.2
  • Remote Code Execution in DataFlow (APPSEC-1777)
  • Remote Code Execution in the Admin panel (APPSEC-1686)
  • XSS in data fields (APPSEC-1634)
  • weitere Details

SUPEE-9652

  • veröffentlicht am 06.02.2017
  • enthalten in Magento CE 1.9.3.2
  • Patch verfügbar für Magento CE 1.5.0.1-1.9.3.1
  • Remote Code Execution using mail vulnerability (APPSEC-1746)
  • weitere Details

SUPEE-8788

  • veröffentlicht am 11.10.2016

Beinhaltet folgende Patches

  • Remote Code Execution im Checkout (APPSEC-1484)
  • SQL Injection im Zend Framework macht mehrere Zugänge zum Admin Panel möglich (APPSEC-1480)
  • Login als anderer Kunde möglich, wenn die E-Mail Adresse bekannt ist (APPSEC-1517)
  • weitere Patches der Stufe Medium und Low

SUPEE-7405 v1.1

  • veröffentlicht am 23.02.2016
  • kompatibel mit PHP 5.3
  • entweder den Patch installieren oder auf Magento 1.9.2.4 upgraden
  • SUPEE-7405 v1.0 muss zuerst installiert werden, wenn man eine Magento Version älter als 1.9.2.3 verwendet

Beinhaltet folgende Patches:

  • Cart Merge Patch (SUPEE-7978)
  • SOAP API Patch (SUPEE-7822)
  • PHP 5.3 Compatibility (SUPEE-7882)
  • Upload File Permissions

Weitere Infos auf magento.com/security/patches/supee-7405.

SUPEE-7405 v1.0

  • veröffentlicht am 29.01.2016
  • ist nicht mit PHP 5.3 kompatibel
  • beinhaltet Patches: SUPEE-5344, SUPEE-5994, SUPEE-6237, SUPEE-6285, SUPEE-6482, SUPEE-6788, SUPEE-7616, SUPEE-7405
  • Zwanzig Sicherheitslücken werden geschlossen, unter anderem: drei Möglichkeiten des Cross-site Scripting unter Gebrauch von Unvalidated Headers, sieben XSS Lücken im Backend und Frontend Bereich und unsicherer Quelltext für das Verarbeiten von serialisierten Objekten
  • includes an update to the USPS API, and a bundle of patches to improve the security of your Magento installation. While there are no confirmed attacks related to these issues to date, certain vulnerabilities can potentially be exploited to access customer information or take over administrator sessions.

SUPEE-6788

  • veröffentlicht am 26.10.2015
  • Cross-site Scripting Using Unvalidated Headers
  • Error Reporting in Setup Exposes Configuration
  • Filter Directives Can Allow Access to Protected Data
  • XXE/XEE Attack on Zend XML Functionality Using Multibyte Payloads
  • Potential SQL Injection in Magento Core Model Base Classes
  • Potential Remote Code Execution Using Cron
  • Remote Code Execution / Information Leak Using File Custom Option
  • Cross-site Scripting with Error Messages
  • Potential Remote Code Execution Using Error Reports and Downloadable Products
  • Admin Path Disclosure
  • Insufficient Protection of Password Reset Process
  • Dev Folder Not Protected
  • öffentliche Liste betroffener Extensions von MaxCluster
  • geschlossene Liste der Openstream Magento Kunden und der installierten Extensions

SUPEE-6482

  • veröffentlicht am 04.08.2015
  • Autoloaded File Inclusion in Magento SOAP API
  • SSRF Vulnerability in WSDL File
  • Cross-site Scripting (Magento Enterprise Edition Only)

SUPEE-6285

  • veröffentlicht am 07.07.2015
  • Information Leak via RSS and Privilege Escalation
  • Request Forgery in Magento Connect Leads to Code Execution
  • Cross-site Scripting in Wishlist
  • Cross-site Scripting in Cart
  • Store Path Disclosure
  • Permissions on Log Files too Broad
  • Cross-site Scripting in Admin
  • Cross-site Scripting in Orders RSS

SUPEE-6237

  • veröffentlicht am 18.06.2015
  • USPS (United States Postal Service) API Shipping rate injection

SUPEE-5994

  • veröffentlicht am 14.05.2015
  • Admin Path Disclosure
  • Customer Address Leak through Checkout
  • Customer Information Leak through Recurring Profile
  • Local File Path Disclosure Using Media Cache
  • Cross-site Scripting (XSS) Using Magento Downloader
  • Spreadsheet Formula Injection
  • Cross-site Scripting Using Authorize.Net Direct Post Module
  • Malicious Package Can Overwrite System Files

SUPEE-5344

  • veröffentlicht am 19.02.2015
  • Remote Code Execution

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.