Oxid eSales offeriert Patch für schwerwiegende Schwachstelle
Der Anbieter rät allen Shop-Betreibern, das Sicherheitsupdate umgehend zu installieren. Sie ist unter anderem für die OXID eShop Enterprise Edition 5.1.12 und 5.2.9 verfügbar. Unbefugte könnten die Lücke über das Frontend ausnutzen, um den Shop unter ihre Kontrolle zu bringen.
Die OXID eSales AG hat eine gravierende Schwachstelle in ihrer Software OXID eShop beseitigt. Der Patch ist für die OXID eShop Enterprise Editionen 5.1.12 und 5.2.9, sowie die Versionen 4.8.12 und 4.9.9 der Professional Edition respektive der Community Edition verfügbar. Der Anbieter empfiehlt allen Nutzern der Software dringend, das Sicherheits-Update umgehend zu installieren.
Passiert das nicht, könnten unbefugte Dritte anhand einer Attacke über das Frontend administrativen Zugang bekommen und damit die Verwaltung des Shops unter ihre Kontrolle bringen. Der Anbieter hat eine FAQ-Seite für den Patch erstellt. Dort finden sich auch Anweisungen, wie die Aktualisierung sich am besten einspielen lässt.
CEO Roland Fesenmayr zufolge ist es in der 13-jährigen Firmengeschichte die erste Schwachstelle dieser Klassifizierung. Sie wurde vom Entwicklerteam des Freiburger Unternehmens selbst ermittelt und fiel bei externen Audits bisher nicht auf. Nach dem Kenntnisstand des Anbieters ist bisher aber kein Shop-System aufgrund des nunmehr behobenen Problems erfolgreich attackiert worden. Wie üblich könnten Kriminelle nun jedoch versuchen, über den Patch die Lücke zu identifizieren und dann gezielt in ungepatchte Systeme einzudringen.
[mit Material von Peter Marwan, silicon.de]