Shop-Technologien
21.02.2011
Shop-Technologien
21.02.2011
Sicherheitslücke in xt:Commerce Administrator-Passwort kann manipuliert werden
Das zwar schon betagte, aber dennoch häufig eingesetzte Shopsystem xt:Commerce in der Version 3.0.4 hat eine kritische Sicherheitslücke. Angreifer können sich dadurch Zugang zum Administratorkonto des Webshopsystems verschaffen.
Ursache dafür sei ein Fehler in einer PHP-Funktion. Darüber sei ein Angriff per SQL-Injection möglich. Bei dieser Art von Angriff wird versucht, Befehle zur Steuerung der Datenbank in eine Funktion einzuschleusen. Auf diese Weise können Angreifer Daten ausspionieren oder sich Zugriff auf die Anwendung oder sogar den Server verschaffen.
Im Shopsystem xt:Commerce 3.0.4 soll es möglich sein, das Administrator-Passwort beliebig zu verändern und sich damit Zugang zum Administrationsbereichs des Webshops zu verschaffen, heißt es in der Fehlerbeschreibung. Ein Bugfix wurde bereitgestellt.
Alternativ raten die Entwickler zum Update auf die neue Version 4.0.13, die unter dem Namen Veyton 4 vertrieben wird. Ab 1. April 2011 will xt:Commerce hiervon eine kostenfreie Community-Edition veröffentlichen. Diese wird die Versionen Web, Basic und Starter ersetzen, die bislang für bis zu 300 Euro verkauft werden.
Shop-Tec - das ist nicht nur eines der wichtigsten Themen für Händler, sondern auch einer der Schwerpunkte der MOONOVA 2023: Vom 14. bis 16. März 2023 geht die MOONOVA in die Fortsetzung - live und digital auf der Eventplattform LO:X.
