Shopplantage.de

Anzeige
Online-Shop Programmierung und Anbindung von WaWi an den Online-Shop mit Integration in die Marketplaces

Navigation

Magento Sicherheitslücke gefährdet zahlreiche Magento-Shops (Magento 2)

von | am 16. April 2017 | keine Kommentare

Am 13.04.2017 veröffentlichten die Sicherheitsexperten von Defensecode eine Magento Sicherheitslücke in Version 2. Grund für die Veröffentlichung war angeblich keine Reaktion seitens Magento auf die bereits im November 2016 gemeldete Sicherheitslücke. Die Lücke ermöglicht den Angreifern einen beliebigen Code auszuführen. Magento hat bis jetzt nicht bekannt gegeben, wann die Lücke gestopft wird.

Sicherheitslücke Magento 2: Seit November keine Handlung von Magento

Das populäre E-Commerce-System Magento wird regelmäßig von Sicherheitsexperten auf mögliche Sicherheitslücken geprüft. Im November 2016 enteckte das Team von Defensecode eine Magento Sicherheitslücke. Dabei handelt es sich um die Version 2. Der Hersteller wurde umgehend darüber informiert. Magento hatte die Sicherheitslücke bestätigt, dennoch auch nach fünf Monaten noch nicht geschlossen. Immerhin wurde einen Patch angekündigt. Bis jetzt ist die Erscheinungsdatum des Patches für diese Magento SIcherheitslücke ungewiss.

Am 13.04.2017 hat Defensecode die Magento Sicherheitslücke mit dem Titel „Magento Arbitrary File Upload Vulnerability“ veröffentlicht. Das Prinzip des Angriffs basiert darauf, dass der Angreifer dem Produkt ein Vimeo-Video hinzufügt und das Vorschaubild durch einen Schadcode ersetzt. Das Vorschaubild wird dabei im Magento System gespeichert und ist von Außen abrufbar. Wenn der Angreifer es schafft, die Anfrage auf eine andere URL umzuleiten, kann eigener Code ausgeführt werden.

Zugriff auf Magento Backend ist erforderlich

Der Angriff ist möglich, wenn die voreingestellte Option „Secret Key zu URLs hinzufügen“ ausgeschaltet ist. Somit wird Magento für Cross-Site Request Forgeries (CSRF/XSRF) anfällig. Wenn diese Option aktiviert ist, ist ein Zugriff auf das Shopsystem erforderlich. Für diesen Angriff reichten aber auch einfache Benutzerrechte.

Laut Magento sind bis jetzt keine Angriffe über diese Lücke bekannt. Mit über 250.000 eingesetzten Installation weltweit sind viele Händler immer noch gefährdet. Durch Angriff können sowohl Datenbanken mit sensiblen Kundendaten gestohlen werden, als auch Malware auf dem Server installiert werden.

Facebook Kommentare
E-Commerce Entwickler News Rundum eCommerce Top Highlights

Anzeige:

Kurze Vita des Autors

Igor Korobkov ist studierter Diplom-Verwaltungswissenschaftler. Sein Hochschulabschluss erlangte er im Bereich europäische Verwaltung und internationale Politik an der Potsdamer Universität im Jahr 2009. Seit dem Jahr 2000 arbeitet er in der Internetbranche. In dieser Zeit war er sowohl als Mitarbeiter in IT-Unternehmen als auch als selbstständiger Web-Designer und E-Commerce-Berater tätig. Weiterhin betreut er zahlreiche Projekte in der Touristik-, Online-Handel- und Immobilienbranchen. Er ist Co-Founder der ZentralWeb GmbH und ist für E-Commerce und Online Marketing verantwortlich.

    Kommentar sind nicht erlaubt.
    Anzeige Magento Agentur Potsdam

    Anzeige

    Information

    ISSN (Online) 2512-675X

    © 2016 - 2018 | ShopPlantage ein Projekt der ZentralMedia digitale Portale GmbH | ISSN (Online) 2512-675X

    Datenschutzeinstellungen

    Verwaltung der Einwilligungen

    Cookies sind kleine Textdateien, die von Webseiten verwendet werden, um die Benutzererfahrung effizienter zu gestalten.

    Laut Gesetz können wir Cookies auf Ihrem Gerät speichern, wenn diese für den Betrieb dieser Seite unbedingt notwendig sind. Für alle anderen Cookie-Typen benötigen wir Ihre Erlaubnis.

    Diese Seite verwendet unterschiedliche Cookie-Typen. Einige Cookies werden von Drittparteien platziert, die auf unseren Seiten erscheinen.

    Privacy Policy

    Pflicht
    You read and agreed to our Privacy Policy.

    CookieConsent

    Pflicht
    Speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domäne.

    Notwendig

    Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen. Die Webseite kann ohne diese Cookies nicht richtig funktionieren.

    verwendete Cookies

    Always Active
    shopplantage.de

    Statistik

    Statistik-Cookies helfen Webseiten-Besitzern zu verstehen, wie Besucher mit Webseiten interagieren, indem Informationen anonym gesammelt und gemeldet werden.

    verwendete Cookies

    Google Analytics

    google-analytics.com

    Opt Out
    Registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren. Wird von Google Analytics verwendet, um die Anforderungsrate einzuschränken. Registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren.

    Marketing

    Marketing-Cookies werden verwendet, um Besuchern auf Webseiten zu folgen. Die Absicht ist, Anzeigen zu zeigen, die relevant und ansprechend für den einzelnen Benutzer sind und daher wertvoller für Publisher und werbetreibende Drittparteien sind.

    verwendete Cookies

    Facebook, AdWords, AdSence

    facebook.com

    Opt Out
    Wird von Facebook genutzt, um eine Reihe von Werbeprodukten anzuzeigen, zum Beispiel Echtzeitgebote dritter Werbetreibender.

    google.com

    Opt Out
    Wird von Google AdWords verwendet, um Besucher erneut zu gewinnen, die wahrscheinlich auf der Grundlage des Online-Verhaltens des Besuchers auf verschiedenen Websites zu Kunden wechseln.

    Möchten Sie Ihr Konto schließen?

    Your account will be closed and all data will be permanently deleted and cannot be recovered. Are you sure?