Die Shop-Software "xt:Commerce", sowie deren Ableger enthalten zwei Fehler, die in Kombination dazu führen, dass Dritte das System gänzlich übernehmen und somit Kundendaten stehlen können, sobald sich der Shopbetreiber in den administrativen Bereich des Shops einloggt.
Betroffen sind die Systeme xtCommerce bis Version 3.04 SP2.1, Gambio bis 2.0.13.3 und Modified eCommerce Shopsoftware (vormals xtcModified).
Wir empfehlen dringend Sicherheitspatches für die jeweilige Shopsoftware zu installieren. Entsprechende Dateien bietet Gambio hier an : Sicherheits-Patch
Eine weitere Sicherheitslücke ermöglicht es dem Angreifer, über eine sog. SQL-Injection in der Sofortkauf-Funktion, Zugriff auf beliebige Inhalte der Datenbank zu erhalten.
Betroffen sind die Systeme xt:Commerce 3, commerce:SEO V.1 und Modified eCommerce Shopsoftware vor Version 1.05 SP1. Gambio sei nach eigenen Aussagen nicht betroffen.
commerce:SEO bietet einen Sicherheits-Patch für dieses Problem an. Auch hier raten wir dringend schnellstmöglich zu handeln.
Quellen :
- Heise 12.12.2013 : Tausende Online-Shops auf Basis von xt:Commerce akut bedroht
- Heise 10.01.2014 : Schon wieder hunderttausende Kundendaten durch xt:Commerce-Lücke geklaut