ShopTrainer

Sicherheitslücke im Shopsystem Xt-Commerce und Gambio

Keine absolute Neuigkeit mehr – aber für unsere Leser ein Muss! Schließlich lesen nur die Wenigsten Online-Shop-Betreiber weit über 100 Feeds . Daher verweisen wir hier auf die Kollegen von ruhrmedia.de, die allen Shop-Betreibern ein Sicherheits-Patch für die ShopsystemeXt-Commerce und Gambio kostenlos zur Verfügung stellen - Hierfür einen herzlichen Dank von uns.

Durch eine SQL-Injection-Schwachstelle wäre es potentiellen Angreifern möglich gewesen sämtliche Benutzerdaten, Artikel und Bestellungen einzusehen. Schuld ist ein unsicherer Programmiercode. Es genügte ein einfaches Script um in kurzer Zeit an mehreren Stellen des Shops auf den Admin-Bereich zu gelangen. Aufgrund eines Kundenhinweises hat Ruhrmedia nun einen Sicherheitspatch für diese Sicherheitslücke vorgelegt.

Generell stellen wir immer wieder fest, wie wenig Online-Shops auf dem aktuellen Stand sind und bei denen im Hintergrund die Dienstleister und Online-Shop-Betreiber sich nicht mit Sicherheitsupdates auseinandersetzen. Dabei trifft vermutlich die Hauptschuld eher die E-Commerce-Dienstleister, als die Betreiber des Shops selbst. So meiden die Dienstleister natürlich auch Updates – diese kosten ja auch Geld und Zeit. Oft können diese Updates nicht in Rechnung gestellt werden. Wir denken – reine Verhandlungsache. So etwas sollte man vor dem Verkauf von Online-Shops bedenken und auch erwähnen. Im Gegensatz zu den Online-Shop-Betreibern, die in den meisten fällen gar nicht mitbekommen, dass es Sicherheits-Lücken und Patches gibt.

Ein ein Xt-Commerce in Version 3.0.3 ohne Sicherheitsupdates ist ein absolutes NoGo.

Kategorie: xt-commerce | Tags: Gambio, sicherheitslücke, xt, XT-Commerce