Drucken E-Mail

Neue Sicherheitslücke in xt:commerce - basierenden Shopsystemen entdeckt !

Die Shop-Software xt:Commerce 3 und deren Ableger wie Gambio und Modified enthalten zwei Fehler, die es in Kombination erlauben, Shops komplett zu übernehmen. Ersten groben Schätzungen zufolge wird die Software ungefähr 50.000 Shops eingesetzt. Zum Glück gibt es Workarounds und Patches, um sich zu schützen.

Entdeckt wurde die Lücke von den Entwicklern von Gambio, die das Problem selbst als kritisch einstufen und deshalb alle ihre registrierten Shop-Betreiber bereits informiert haben. Die Lücken wurde bei internen Tests von Gambio entdeckt; deshalb gehen die Entwickler davon aus, dass sie derzeit noch nicht aktiv ausgenutzt werden – was sich aber jetzt sehr schnell ändern dürfte.

Es handelt sich bei den Lücken um ein persistentes XSS und eine CSRF-Problem. Richtig ausgenutzt, kann ein Angreifer damit den Admin-Zugang des Shops kapern, wie Gambio heise Security glaubhaft demonstrieren konnte. Zum Glück lässt sich das Problem nicht vollautomatisch ausnutzen; dass der rechtmäßige Eigentümer zunächst seine Admin-Seiten aufrufen muss, beschränkt die mögliche Ausbreitung ein wenig.

Betroffen sind xt:Commerce bis Version 3.04 SP2.1, Gambio bis v2.0.13.3, Modified (alle Versionen) und eventuell weitere xt:Commerce-Weiterentwicklungen.

Den entsprechenden Patch erhalten betroffende Shopbetreiber unter:

http://www.gambio.de/security-patch-dez2013-div.html

Kunden von IPS Host können die Installation unter in unserem Shop beauftragen.

 

Kundenlogin

Um unser Ticketsystem nutzen zu können müssen Sie sich einmalig auf unserer Supportseite registrieren. Nur so kann eine 100% Nachvervolgbarkeit gewährleistet werden.

  • 2 Beiträge sind getagged mit cgi
  • 1 Beiträge sind getagged mit Client
  • 2 Beiträge sind getagged mit confixx
  • 2 Beiträge sind getagged mit DNS
  • 2 Beiträge sind getagged mit eMail
  • 3 Beiträge sind getagged mit FTP
  • 1 Beiträge sind getagged mit Gutscheine
  • 1 Beiträge sind getagged mit Kündigung
  • 1 Beiträge sind getagged mit Kupons
  • 2 Beiträge sind getagged mit Laufzeit
  • 1 Beiträge sind getagged mit Login
  • 2 Beiträge sind getagged mit perl
  • 3 Beiträge sind getagged mit php
  • 1 Beiträge sind getagged mit Referrer
  • 1 Beiträge sind getagged mit Refs
  • 1 Beiträge sind getagged mit Reseller
  • 2 Beiträge sind getagged mit Serverpfade
  • 2 Beiträge sind getagged mit Shopsoftware
  • 1 Beiträge sind getagged mit SPAM
  • 1 Beiträge sind getagged mit SSL
  • 2 Beiträge sind getagged mit Upload
  • 1 Beiträge sind getagged mit Versand
  • 1 Beiträge sind getagged mit Verschlüsselung
  • 2 Beiträge sind getagged mit Vertrag
  • 2 Beiträge sind getagged mit xt:commerce