Magento: XSS-Sicherheitslücke bedroht Millionen Shops

Das weit verbreitete Open-Source-Shopsystem Magento hat eine schwerwiegende Sicherheitslücke, die Millionen von E-Commerce-Websites bedrohen soll.

Wie Sucuri berichtet, sind von der Sicherheitslücke nahezu alle Magento-Versionen betroffen – von Magento-Community-Editions, die jünger als 1.9.2.3 sind, bis zur Magento-Enterprise-Edition unterhalb von Version 1.14.2.3. Es handele sich bei dem Fehler um eine „Stored-Cross-Site-Scripting“-Sicherheitslücke (XSS), durch die die Magento-Plattform aus der Ferne leicht angegriffen werden kann. Angreifer können durch einen manipulierten Javascript-Code, der über das Kunden-Registrierungsformular eingeschleust wird, den kompletten Server übernehmen, auf dem Magento ausgeführt wird, so Sucuri.

Der fehlerhafte Code befinde sich in den Magento-Core-Libraries – konkret im Admin-Backend. Sofern man sich nicht hinter einer Website-Firewall (WAF) befände oder ein stark modifiziertes Admin-Panel besitze, sei die Magento-Installation gefährdet. Da es sich bei der Sicherheitslücke um einen Stored-XSS-Bug handelt, könnten Angreifer den kompletten Webshop übernehmen, neue Admin-Konten anlegen und auch Kundendaten abgreifen.


Magento-Sicherheitslücke: Was ist zu tun?

Wie schon erwähnt, könnt ihr eure Magento-Shops schützen, indem ihr eine Firewall installiert. Auf diesem Weg könnt ihr euren Shop absichern, falls ihr nicht auf die Schnelle auf eine aktuellere Magento-Version updaten könnt.

Alternativ könnt ihr den SUPEE-7405-Patch installieren, den Magento bereitgestellt hat. Hierbei handelt es sich im Grunde genommen um ein Patch-Bundle, das gleich mehrere sicherheitsrelevante Probleme beheben soll. Der Bug wird von Magento als „kritisch“ eingestuft. Es ist daher empfohlen, schnell zu reagieren.

Quelle: http://t3n.de/news/m...sluecke-674152/