• Partner
  • Kontakt
  • Themen vorschlagen
  • Gastautor werden
Shopplantage.de

Anzeige
Online-Shop Programmierung und Anbindung von WaWi an den Online-Shop mit Integration in die Marketplaces

Navigation
  • Startseite
  • Rundum eCommerce
  • Entwickler News
  • Szene
    • Interviews und Personen
    • Konferenzen und Events
    • Themenseiten
  • Wissensbasis
    • Ratgeber Online Handel
    • Ratgeber Online-Shop Entwicklung
    • Shop-Systeme und Tools
    • Marketing für Online-Shop
    • Online-Shop Programmierung
  • Dienstleistersuche

Startseite » Magento Sicherheitslücke gefährdet zahlreiche Magento-Shops (Magento 2)

Magento Sicherheitslücke gefährdet zahlreiche Magento-Shops (Magento 2)

von Igor Korobkov | am 16. April 2017 | keine Kommentare
  • teilen 
  • twittern 
  • teilen 
  • teilen 
  • teilen 
  • mitteilen 

Am 13.04.2017 veröffentlichten die Sicherheitsexperten von Defensecode eine Magento Sicherheitslücke in Version 2. Grund für die Veröffentlichung war angeblich keine Reaktion seitens Magento auf die bereits im November 2016 gemeldete Sicherheitslücke. Die Lücke ermöglicht den Angreifern einen beliebigen Code auszuführen. Magento hat bis jetzt nicht bekannt gegeben, wann die Lücke gestopft wird.

Sicherheitslücke Magento 2: Seit November keine Handlung von Magento

Das populäre E-Commerce-System Magento wird regelmäßig von Sicherheitsexperten auf mögliche Sicherheitslücken geprüft. Im November 2016 enteckte das Team von Defensecode eine Magento Sicherheitslücke. Dabei handelt es sich um die Version 2. Der Hersteller wurde umgehend darüber informiert. Magento hatte die Sicherheitslücke bestätigt, dennoch auch nach fünf Monaten noch nicht geschlossen. Immerhin wurde einen Patch angekündigt. Bis jetzt ist die Erscheinungsdatum des Patches für diese Magento SIcherheitslücke ungewiss.

Am 13.04.2017 hat Defensecode die Magento Sicherheitslücke mit dem Titel „Magento Arbitrary File Upload Vulnerability“ veröffentlicht. Das Prinzip des Angriffs basiert darauf, dass der Angreifer dem Produkt ein Vimeo-Video hinzufügt und das Vorschaubild durch einen Schadcode ersetzt. Das Vorschaubild wird dabei im Magento System gespeichert und ist von Außen abrufbar. Wenn der Angreifer es schafft, die Anfrage auf eine andere URL umzuleiten, kann eigener Code ausgeführt werden.

Zugriff auf Magento Backend ist erforderlich

Der Angriff ist möglich, wenn die voreingestellte Option „Secret Key zu URLs hinzufügen“ ausgeschaltet ist. Somit wird Magento für Cross-Site Request Forgeries (CSRF/XSRF) anfällig. Wenn diese Option aktiviert ist, ist ein Zugriff auf das Shopsystem erforderlich. Für diesen Angriff reichten aber auch einfache Benutzerrechte.

Laut Magento sind bis jetzt keine Angriffe über diese Lücke bekannt. Mit über 250.000 eingesetzten Installation weltweit sind viele Händler immer noch gefährdet. Durch Angriff können sowohl Datenbanken mit sensiblen Kundendaten gestohlen werden, als auch Malware auf dem Server installiert werden.

Facebook Kommentare
  • teilen 
  • twittern 
  • teilen 
  • teilen 
  • teilen 
  • mitteilen 
E-Commerce Entwickler News Rundum eCommerce Top Highlights

Anzeige:

Kurze Vita des Autors

Igor Korobkov ist studierter Diplom-Verwaltungswissenschaftler. Sein Hochschulabschluss erlangte er im Bereich europäische Verwaltung und internationale Politik an der Potsdamer Universität im Jahr 2009. Seit dem Jahr 2000 arbeitet er in der Internetbranche. In dieser Zeit war er sowohl als Mitarbeiter in IT-Unternehmen als auch als selbstständiger Web-Designer und E-Commerce-Berater tätig. Weiterhin betreut er zahlreiche Projekte in der Touristik-, Online-Handel- und Immobilienbranchen. Er ist Co-Founder der ZentralWeb GmbH und ist für E-Commerce und Online Marketing verantwortlich.

    Kommentar sind nicht erlaubt.

    Empfehle uns weiter und folge uns

    • teilen 
    • twittern 
    • teilen 
    • teilen 
    • teilen 
    • mitteilen 
    Anzeige Magento Agentur Potsdam

    Newsletter Anmeldung

    • Von Leser beliebt
    • Ähnliche Beiträge
    • Anleitung zum M2E Pro Modul für Magento

      Anleitung zum M2E Pro Modul für Magento

      28. September 2016
    • Die besten Absatzmärkte für Online Handel: lass die Grenzen Brechen

      Die besten Absatzmärkte für Online Handel: lass die Grenzen Brechen

      25. August 2016
    • Anleitung: Magento 2 installieren

      Anleitung: Magento 2 installieren

      26. August 2016
    • Magento: Informationen über den Shop ermitteln

      Magento: Informationen über den Shop ermitteln

      26. August 2016
    • Magento Module mit n98-magerun programmieren

      Magento Module mit n98-magerun programmieren

      30. August 2016
    • Der neue Beruf E-Commerce-Kaufmann

      Der neue Beruf E-Commerce-Kaufmann

      1. September 2016
    • Voll Frisch? REWE will seinen Lieferdienst vorantreiben

      Voll Frisch? REWE will seinen Lieferdienst vorantreiben

      1. September 2016
    • Anleitung: Magento Projekt lokal aufsetzen

      Anleitung: Magento Projekt lokal aufsetzen

      2. September 2016
    • E-Commerce Events und Konferenzen

      E-Commerce Events und Konferenzen

      2. September 2016
    • Chrome Update führt zu Kaufabbruch im OnlineShop

      Chrome Update führt zu Kaufabbruch im OnlineShop

      8. September 2016
    • Was Local Inventory Ads Offline-Händlern bringen

      Was Local Inventory Ads Offline-Händlern bringen

      19. April 2018
    • Ankündigung Magento Patch SUPEE-10570

      Ankündigung Magento Patch SUPEE-10570

      28. Februar 2018
    • Digitale Werbung wächst um 8 Prozent auf 1,93 Milliarden Euro

      Digitale Werbung wächst um 8 Prozent auf 1,93 Milliarden Euro

      27. Februar 2018
    • OMT 2018 Vorverkauf gestartet

      OMT 2018 Vorverkauf gestartet

      18. Januar 2018
    • EU plant Vereinfachung im Mehrwertsteuersystem für Onlinehändler

      EU plant Vereinfachung im Mehrwertsteuersystem für Onlinehändler

      8. Dezember 2017
    • 70 Prozent der Händler fürchten Amazon

      70 Prozent der Händler fürchten Amazon

      7. Dezember 2017
    • Amazon rechnet mit reibungsloser Paketzustellung

      Amazon rechnet mit reibungsloser Paketzustellung

      7. Dezember 2017
    • Verbraucherschützer fordern mehr Transparenz bei Algorithmen

      Verbraucherschützer fordern mehr Transparenz bei Algorithmen

      7. Dezember 2017
    • 79 Prozent aller Webseiten tracken Besucher

      79 Prozent aller Webseiten tracken Besucher

      7. Dezember 2017
    • Start-Up ImkerPur: wir stehen 100%-ig hinter jedem unserer Produkte

      Start-Up ImkerPur: wir stehen 100%-ig hinter jedem unserer Produkte

      5. Dezember 2017

    Anzeige

    Neuste Beiträge

    • Was Local Inventory Ads Offline-Händlern bringen

      Was Local Inventory Ads Offline-Händlern bringen

      19. April 2018
    • Ankündigung Magento Patch SUPEE-10570

      Ankündigung Magento Patch SUPEE-10570

      28. Februar 2018
    • Digitale Werbung wächst um 8 Prozent auf 1,93 Milliarden Euro

      Digitale Werbung wächst um 8 Prozent auf 1,93 Milliarden Euro

      27. Februar 2018

    Beliebt von Leser

    • Anleitung zum M2E Pro Modul für Magento

      Anleitung zum M2E Pro Modul für Magento

      28. September 2016
    • Die besten Absatzmärkte für Online Handel: lass die Grenzen Brechen

      Die besten Absatzmärkte für Online Handel: lass die Grenzen Brechen

      25. August 2016
    • Anleitung: Magento 2 installieren

      Anleitung: Magento 2 installieren

      26. August 2016

    Änliche Beiträge

    • 7 Fähigkeiten, die Webdesigner heute brauchen

      7 Fähigkeiten, die Webdesigner heute brauchen

      26. November 2017
    • Agile Softwareentwicklung: Container und Microservices auf dem Vormarsch

      Agile Softwareentwicklung: Container und Microservices auf dem Vormarsch

      26. November 2017
    • Ethereum-Kurs auf Allzeithoch: Nachfrage nach Bitcoin-Alternative steigt rasant

      Ethereum-Kurs auf Allzeithoch: Nachfrage nach Bitcoin-Alternative steigt rasant

      24. November 2017

    Information

    ISSN (Online) 2512-675X

    • Startseite
    • Dienstleistersuche
    • Rundum eCommerce
    • Thema für Nachrichtenportal vorschlagen
    • Datenschutz
    • Kontakt
    • Impressum
    © 2016 - 2021 | ShopPlantage ein Projekt der ZentralMedia digitale Portale GmbH | ISSN (Online) 2512-675X