Pijnlijk lek geeft beheerrechten over talloze webshops. Toegang tot klantgegevens, verander de prijzen, deel waardebonnen uit...


Een gênant lek in webwinkelplatform Magento Go, tegenwoordig eigendom van eBay, gaf kwaadwillenden toegang tot de achterkant van zo'n 200.000 webwinkels. Dat schrijven onderzoekers van Securatary.



Door het manipuleren van de HOST header kan de aanvaller met zijn account admin-rechten krijgen bij elk willekeurig ander beheeraccount. Daarmee kan de webwinkel feitelijk worden overgenomen en heeft de hacker toegang tot klantgegegens, kan hij prijzen en producten aanpassen of waardebonnen aanmaken.

De kwetsbaarheid is aan eBay gemeld en inmiddels gedicht. Nu is het wachten op de bugbounty voor Securatary.