SQL-Injection-Lücke in xt:Commerce
Sicherheitsupdates schließen in der Shop-Software eine Lücke, durch die Angreifer potenziell Datenbankbefehle einschleusen können.
In der Shop-Software xt:Commerce klafft eine Sicherheitslücke, die sich theoretisch zum Einschleusen von SQL-Befehlen ausnutzen lässt, wie die Entwickler in ihrem Blog schreiben [1]. Indizien, die darauf hindeuten, dass die Lücke aktiv ausgenutzt wurde, gebe es nicht. Für Abhilfe sorgen die abgesicherten Versionen 4.2.00 [2], 4.1.10 [3] und 4.1.00 [4].
Wer einen xt:Commerce-Shop betreibt, sollte umgehend auf eine der aktuellen Versionen umsteigen. Angreifer können durch einen Vergleich einer verwundbaren und einer abgesicherten Version des PHP-Projekts wertvolle Details über die SQL-Injection-Lücke herausfinden. (rei [5])
URL dieses Artikels:
https://www.heise.de/-2667569
Links in diesem Artikel:
[1] http://www.xt-commerce.com/blog/xtnews/sicherheitsupdate-xtcommerce-4-2-00-4-1-10-4-1-00.html
[2] http://helpdesk.xt-commerce.com/index.php?%2FKnowledgebase%2FArticle%2FView%2F1313%2F183%2Fxtcommerce-4200-service-pack-1
[3] http://helpdesk.xt-commerce.com/index.php?%2FKnowledgebase%2FArticle%2FView%2F1303%2F133%2Fxtcommerce-4110-service-pack-1
[4] http://helpdesk.xt-commerce.com/index.php?%2FKnowledgebase%2FArticle%2FView%2F1293%2F123%2Fxtcommerce-4100-service-pack-1
[5] mailto:rei@heise.de
Copyright © 2015 Heise Medien