Een beveiligingslek in de webwinkelsoftware Magento zorgde ervoor dat mislukte inlogpogingen van klanten in plaintext in de database werden opgeslagen. Hoewel het probleem inmiddels is verholpen zijn de opgeslagen gebruikersnamen en verkeerde wachtwoorden nooit verwijderd.

Een aanvaller met toegang tot de database zou op deze manier het juiste wachtwoord van gebruikers kunnen afleiden.

De beveiligingsupdate zorgde ervoor dat Magento mislukte inlogpogingen niet meer in plaintext bewaarde. Al opgeslagen inlogpogingen bleven echter gewoon in de database achter. Daarvoor is nu een hotfix verschenen, die al deze inlogpogingen verwijdert. "... raden we aan om de update zo snel als mogelijk te installeren", aldus het Magento Security Team.

Alles bij de bron; Security