Schon wieder hunderttausende Kundendaten durch xt:Commerce-Lücke geklaut

Wie nicht anders zu erwarten ist eine weitere kritische Sicherheitslücke in xt:Commerce 3 und einigen Abkömmlingen aufgetaucht. Die Sicherheitslücke wird derzeit aktiv ausgenutzt, um die Namen, Mail-Adressen und Passwort-Hashes von Kunden in Online-Shops zu entwenden. Betroffen sind bereits über 350.000 Kunden vor allem aus Deutschland, Österreich und der Schweiz.

Anfällig ist offenbar die Shop-Software xt:Commerce 3, commerce:SEO Version 1 und Modified vor Version 1.05 SP1; die Varianten xt:Commerce 4, Gambio und aktuelle Versionen von commerce:SEO sowie Modified sind nicht anfällig.

Bei der Lücke handelt es sich im eine SQL-Injection-Schwachstelle in der Sofortkauf-Funktion, über die sich Angreifer Zugriff auf quasi beliebige Datenbank-Inhalte verschaffen können. Aufgedeckt wurde das Problem von den Entwicklern von commerce:SEO.

xt:Commerce 3 wird nicht mehr gepflegt, aber trotzdem noch von vielen Shops eingesetzt. Bereits bei der erst vor einem Monat gefundenen kritischen Sicherheitslücke signalisierte der Hersteller in unverantwortlicher Ignoranz, dass es kein offizielles Update zur Behebung des Fehlers geben wird. Dies stellt einen weiteren triftigen Grund dar, nicht mit xt:Commerce zu arbeiten.

Commerce:SEO stellt ein Fix bereit, der auch xt:Commerce 3 und xtcModified 1.05 abdichten soll. Wer jedoch immer noch xt:Commerce3 einsetzt, sollte dringend auf eine Shop-Software umsteigen, die noch gepflegt und mit Sicherheits-Updates des Herstellers versehen wird. Alles andere ist mittlerweile als unverantwortlicher Umgang mit den anvertrauten Daten der Kunden anzusehen..

Nachtrag: Damit es den ‚Entwicklern‘ von xt:Commerce die Schamröte ins Gesicht treibt:
Die Entwickler von modified haben einen Fix für alte modified-Shops bereitgestellt, der die sicherheitslücke durch den einfachen Austausch einer einzigen Datei zuverlässig fixt. http://www.modified-shop.org/forum/index.php?topic=28894

Liebe Möchtegern-Entwickler von xt:Commerce. SO geht man mit seiner Verantwortung als Entwickler um.

Dieser Beitrag wurde unter Fassungslos, Hosting, Pfusch, Sicherheit, Software veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar