Wie heiseSecurity berichtet, haben die Entwickler des xt:Commerce-Ablegers „Gambio“ zwei Sicherheitslücken im Quelltext entdeckt, die in ihrer Kombination eine komplette Übernahme des Shops durch Dritte (Hacking) möglich machen.
Bisher wurde die Lücke nur in internen Tests entdeckt, die Erfahrung zeigt allerdings, dass nach Bekanntwerden schnell auch gezielt Angriffe gegen entsprechende Shops gefahren werden. Ein entsprechender Hack kann zwar nur manuell (nicht bzw. schwer automatisch) durchgeführt werden, der Verlust der Kundendaten, ungewollte Änderungen im Shop oder auch der Versand von Spammails kann nach einem Hack dennoch drohen und für wirtschaftlichen Schaden sorgen.
Betroffen sind xt:Commerce bis Version 3.04 SP2.1, Gambio bis v2.0.13.3, sowie alle(!) Versionen von modified.
Die Entwickler von Gambio haben bereits einen inoffiziellen Patch (Update) bereitgestellt, dass die Sicherheitslücke zunächst schließt. Wir empfehlen allen Nutzern der betroffenen Shopsysteme unbedingt kurzfristig ein Update durchzuführen.
LINK | https://www.gambio.de/security-patch-dez2013-div.html
Kommentar schreiben