Shopplantage.de

Anzeige
Online-Shop Programmierung und Anbindung von WaWi an den Online-Shop mit Integration in die Marketplaces

Navigation

Magento Sicherheitslücke gefährdet zahlreiche Magento-Shops (Magento 2)

von | am 16. April 2017 | keine Kommentare

Am 13.04.2017 veröffentlichten die Sicherheitsexperten von Defensecode eine Magento Sicherheitslücke in Version 2. Grund für die Veröffentlichung war angeblich keine Reaktion seitens Magento auf die bereits im November 2016 gemeldete Sicherheitslücke. Die Lücke ermöglicht den Angreifern einen beliebigen Code auszuführen. Magento hat bis jetzt nicht bekannt gegeben, wann die Lücke gestopft wird.

Sicherheitslücke Magento 2: Seit November keine Handlung von Magento

Das populäre E-Commerce-System Magento wird regelmäßig von Sicherheitsexperten auf mögliche Sicherheitslücken geprüft. Im November 2016 enteckte das Team von Defensecode eine Magento Sicherheitslücke. Dabei handelt es sich um die Version 2. Der Hersteller wurde umgehend darüber informiert. Magento hatte die Sicherheitslücke bestätigt, dennoch auch nach fünf Monaten noch nicht geschlossen. Immerhin wurde einen Patch angekündigt. Bis jetzt ist die Erscheinungsdatum des Patches für diese Magento SIcherheitslücke ungewiss.

Am 13.04.2017 hat Defensecode die Magento Sicherheitslücke mit dem Titel „Magento Arbitrary File Upload Vulnerability“ veröffentlicht. Das Prinzip des Angriffs basiert darauf, dass der Angreifer dem Produkt ein Vimeo-Video hinzufügt und das Vorschaubild durch einen Schadcode ersetzt. Das Vorschaubild wird dabei im Magento System gespeichert und ist von Außen abrufbar. Wenn der Angreifer es schafft, die Anfrage auf eine andere URL umzuleiten, kann eigener Code ausgeführt werden.

Zugriff auf Magento Backend ist erforderlich

Der Angriff ist möglich, wenn die voreingestellte Option „Secret Key zu URLs hinzufügen“ ausgeschaltet ist. Somit wird Magento für Cross-Site Request Forgeries (CSRF/XSRF) anfällig. Wenn diese Option aktiviert ist, ist ein Zugriff auf das Shopsystem erforderlich. Für diesen Angriff reichten aber auch einfache Benutzerrechte.

Laut Magento sind bis jetzt keine Angriffe über diese Lücke bekannt. Mit über 250.000 eingesetzten Installation weltweit sind viele Händler immer noch gefährdet. Durch Angriff können sowohl Datenbanken mit sensiblen Kundendaten gestohlen werden, als auch Malware auf dem Server installiert werden.

Facebook Kommentare
E-Commerce Entwickler News Rundum eCommerce Top Highlights

Anzeige:

Kurze Vita des Autors

Igor Korobkov ist studierter Diplom-Verwaltungswissenschaftler. Sein Hochschulabschluss erlangte er im Bereich europäische Verwaltung und internationale Politik an der Potsdamer Universität im Jahr 2009. Seit dem Jahr 2000 arbeitet er in der Internetbranche. In dieser Zeit war er sowohl als Mitarbeiter in IT-Unternehmen als auch als selbstständiger Web-Designer und E-Commerce-Berater tätig. Weiterhin betreut er zahlreiche Projekte in der Touristik-, Online-Handel- und Immobilienbranchen. Er ist Co-Founder der ZentralWeb GmbH und ist für E-Commerce und Online Marketing verantwortlich.

    Kommentar sind nicht erlaubt.
    Anzeige Magento Agentur Potsdam

    Anzeige

    Information

    ISSN (Online) 2512-675X

    © 2016 - 2018 | ShopPlantage ein Projekt der ZentralMedia digitale Portale GmbH | ISSN (Online) 2512-675X