SQL-Injection-Lücke in xt:Commerce

Sicherheitsupdates schließen in der Shop-Software eine Lücke, durch die Angreifer potenziell Datenbankbefehle einschleusen können.

26

26.05.2015, 18:17 Uhr

Lesezeit: 1 Min.

Security

Von

Ronald Eikenberg

In der Shop-Software xt:Commerce klafft eine Sicherheitslücke, die sich theoretisch zum Einschleusen von SQL-Befehlen ausnutzen lässt, wie die Entwickler in ihrem Blog schreiben. Indizien, die darauf hindeuten, dass die Lücke aktiv ausgenutzt wurde, gebe es nicht. Für Abhilfe sorgen die abgesicherten Versionen 4.2.00, 4.1.10 und 4.1.00.

Wer einen xt:Commerce-Shop betreibt, sollte umgehend auf eine der aktuellen Versionen umsteigen. Angreifer können durch einen Vergleich einer verwundbaren und einer abgesicherten Version des PHP-Projekts wertvolle Details über die SQL-Injection-Lücke herausfinden. (rei)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

SQL-Injection-Lücke in xt:Commerce

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.