Schon wieder: Ungepatchte Magento-Lücke macht Shops angreifbar

Die Sicherheitsforscher von Kaspersky warnen aktuell vor einer seit Monaten bekannten Zero-Day-Schwachstelle in der beliebten Ecommerce-Plattform Magento. Kaspersky stuft die Sicherheitslücke jetzt als hohes Risiko ein.
Onlineshop, eCommerce, Magento
Magento
Entdeckt hatte die Schwachstelle dabei ein Mitarbeiter der Sicherheitsfirma DefenseCode, und zwar bereits im November. Er meldete die Lücke und wartete - doch Magento hat zunächst nicht auf die Warnung zur Zero-Day-Lücke reagiert. Erst nachdem sich auch Kaspersky in die Diskussion eingeschaltet und DefenseCode den Fehler veröffentlicht hat, gibt es jetzt auch eine Reaktion des Anbieters. Es geht dabei um die Standard-Version der Shop-Software und nicht um Magento Enterprise. Jedoch nutzen beide Versionen den gleichen Code-Unterbau, sodass es von DefenseCode derzeit nicht ausgeschlossen wird, dass auch die Enterprise-Lösung von Magento angreifbar ist.


Zugriff möglich

Die Schwachstelle nennt sich "Magento Arbitrary File Upload Vulnerability", da sie dazu genutzt werden kann, Magento dazu zu bringen, unwillkürlich (also auch unbemerkt vom Shop-Betreiber) Daten nachzuladen. Hacker können sich dabei eine fehlende Überprüfung beim Hochladen von Dateien zunutze machen und so manipulierte Daten unbemerkt in den Shop einschleusen. Das Problem tritt bei der Verwendung von Vimeo-Videos auf, zu denen das Shop-System ein Vorschaubild zulässt. Taucht dabei ein Fehler auf, beispielsweise durch ein falsches Dateiformat, wird diese Datei auf dem Server gespeichert, kann aber nicht regulär genutzt werden. Laut DefenseCode können die Angreifer auf die URL der gespeicherten Datei zugreifen und sie beliebig ersetzen.

Ausnutzung unbekannt

Ob die Schwachstelle ausgenutzt wird, konnte DefenseCode bisher selbst nicht nachvollziehen. Der Fehler könnte aber dazu genutzt werden, Zugriff auf andere Teile des Shopsystems zu erhalten und so Daten von Kunden und vom Anbieter abzugreifen. Da Magento ein recht beliebtes und damit auch verbreitetes Tool ist, warnt man nun vor der ungepatchten Sicherheitslücke.

Magento-Kunden

Bekannte Marken wie Seat, Halhuber, Fraport oder Liebherr nutzen laut der Webseite von Magento die Plattform. Laut Kaspersky sind es nun sicherlich über 200.000 Onlineshops, die durch die Schwachstelle seit Monaten angreifbar sind und Magento dennoch still steht.

Magento selbst hat mitgeteilt, dass ihnen keine Angriffe über die Lücke bekannt seien, und man den Fehler in einem der nächsten Updates bereingt. Schon Anfang des Jahres machte eine Sicherheitslücke bei dem Anbieter Schlagzeilen, da das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, eine Warnung ausgesprochen hatte.

Siehe auch: Magento Skimming-Problem: Deutsche Shopbetreiber sind zu nachlässig
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:35 Uhr YV 520mb/s USB SticksYV 520mb/s USB Sticks
Original Amazon-Preis
39,99
Im Preisvergleich ab
?
Blitzangebot-Preis
31,99
Ersparnis zu Amazon 20% oder 8
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!