OXID neue Versionen 6.0.5 und 6.1.4 schließen Sicherheitslücke

Mehrere OXID-eShop-Versionen waren von einer Sicherheitslücke betroffen, bei der beliebige SQL-Befehle eingeschleust und ausgeführt werden konnten. Ein Update hilft.

Eine kritische Sicherheitslücke hat kürzlich mehrere Shop-Software-Versionen von OXID-eShops betroffen. Über eine SQL-Injektion mittels einer präparierten URL konnten nicht authentifizierte Angreifer Zugriff auf das Admin-Panel im Shop-Backend und somit den gesamten Online-Shop erhalten.

Bisher wurde ein Ausnutzen der Schwachstelle seitens OXID nicht registriert, was ebenfalls dem Umstand geschuldet ist, dass die Entdecker der Lücke kein Proof-of-Concept-Code veröffentlicht haben. Auch wenn RIPSTECH, zuständig für Analysesoftware, entsprechend richtig gehandelt hat, um Angriffe auf das OXID-Shopsystem zu vermeiden, sollten Shopbetreiber die Aktualisierung Ihres Systems in Betracht ziehen.

Eine ausführliche Beschreibung zum Ausnutzen der Sicherheitslücke liefert RIPSTECH in ihrem Blog. Sie tritt neben der Community Edition ebenfalls in der Professional Edition und der Enterprise Edition auf und betrifft die entsprechenden Versionen 6.0.0 bis 6.0.4 sowie 6.1.0 bis einschließlich 6.1.3.

Die Releases 6.1.4 sowie 6.0.5 für alle Editionen sind bereits seit Ende Juli online und sollten dringend installiert werden, falls noch nicht geschehen.

 

Langfristigen Support und Unterstützung bei Problemen mit der Shop-Software oder einem Upgrade übernimmt unser OXID-Support-Team gerne für Sie.

 

Unverbindlich OXID-Support anfragen

 

Quelle: heise.de