Det började med ett blogginlägg (Google-cache) om att ett allvarligt CSRF-säkerhetshål i Magento kan ge obehöriga tillgång till administrationensdelen i Magento. Säkerhetshålet gäller för Magento version 1.2.1.1 men det är även möjligt att tidigare versioner är drabbade. Varien var inte sena med att ge respons på blogginlägget, men deras lösning - att döpa om URL:en för admin (!) - upplevdes av många att vara en bristfällig krislösning än en gedigen lösning på problemet.
Då det redan finns flera exempel på nätet på hur man kan utnyttja säkerhetshålet, har oberoende utvecklare försökt täppa igenom säkerhetshålet på egen hand. Varien sägs arbeta på en fix men det är oklart när den kommer att släppas.
En konsekvens av denna incident är att Varien har skapat ett subforum dedikerat till säkerhet på MagentoCommerce.com.
Etiketter: csrf, Säkerhet, säkerhetshål