Schadcode-Attacken auf Onlineshops auf Gambio-Basis möglich
Admins von Onlineshops sollten die Gambio-Software aus Sicherheitsgründen auf den aktuellen Stand bringen.
(Bild: Alfa Photo/Shutterstock.com)
Shopsysteme auf Gambio-Basis sind verwundbar und Angreifer können Shops durch das Ausnutzen von als "kritisch" eingestufte Sicherheitslücken kompromittieren.
Der Hinweis findet sich im Forum der Shopsoftware. Die Entwickler haben aber auch einen entsprechenden Eintrag im Admin-Dashboard veröffentlicht. Die Lücken betreffen dem Anbieter zufolge Gambio GX v4.6.0.1 bis v4.9.2.0. Das Security Update 2024-01 v1.0 steht im Gambio Shop zum Download.
Aus zwei Einträgen geht hervor, dass Angreifer über Insecure-Deserialization- (CVE-2024-23759) und SQL-Injection-Attacken (CVE-2024-23763) Schadcode ausführen können. Darüberhinaus erlaubt auch das Content-Management-System der Showsoftware Angreifern dank einer Upload-Lücke, schädliche Dateien auszuführen (CVE-2024-23762) und mittels einer speziell präparierten Smarty-Mailvorlage (CVE-2024-23761) erreichen sie dasselbe Ziel. Ein Informationsleck in Klartextdateien innerhalb des Gambio-Webverzeichnisses (CVE-2024-23760) haben die Entwickler ebenfalls behoben. Derzeit gebe es keine Hinweise auf Attacken.
Am späten Abend des 12. Februar sind CVE-IDs für die Sicherheitslücken eingetrudelt; wir haben den Text entsprechend aktualisiert. CVSS-Bewertungen sind jedoch noch immer nicht verfügbar.
(des)
