Updates verfügbar: OXID eShop repariert verwundbares Admin-Panel
Eine Sicherheitslücke in mehreren OXID-eShop-Versionen ermöglichte das Einschleusen und Ausführen beliebiger SQL-Befehle mittels speziell präparierter URLs.
(Bild: Medi2Go)
In mehreren Versionen der E-Commerce-Software OXID eShop steckte bis vor kurzem eine kritische Sicherheitslücke. Sie erlaubte unauthentifizierten Angreifern, mittels SQL Injection die vollständige Kontrolle über das Admin-Panel – und in der Folge über das komplette Shopsystem – zu erlangen. Das Ausnutzen der Lücke setzt weder eine vom Default abweichende Shop-Konfiguration noch irgendeine (Inter-)Aktion des Shopbetreibers voraus.
Abgesicherte Releases der verwundbaren Versionen stehen bereit. Obwohl OXID bislang keine Exploits in freier Wildbahn gesichtet und der Entdecker der Schwachstelle, das Analysesoftware-Unternehmen RIPSTECH, keinen Proof-of-Concept-Code veröffentlicht hat, sollten Shopbetreiber möglichst zeitnah updaten.
Ausführen beliebiger SQL-Befehle
Die – über die Adresszeile des Webbrowsers ausnutzbare – Sicherheitslücke beschreibt RIPSTECH detailliert in einem Blogeintrag. Demnach erfolgt die SQL Injection mittels einer speziell präparierten URL. Der "präparierte" Teil des Inputs aus der Adresszeile landet über den Umweg einer PHP-Sessionvariable in einer SQL-Abfrage, die bei jedem Aufruf eines Produkts im Shop an dessen Datenbank gesendet wird.
Laut RIPSTECH ist es auf diesem Wege möglich, eigene SQL-Befehle einzuschleusen. Diese kämen dann als so genannte "stacked queries" unmittelbar nach dem ursprünglichen Query zur Ausführung.
In seinem Proof-of-Concept missbraucht das Team die Lücke, um einen neuen Admin-Account anzulegen und sich auf diesem Weg ins Backend des Shops einzuloggen. Gegenüber heise Security erklärte es jedoch, dass prinzipiell die Ausführung jedes beliebigen Befehls möglich wäre.
Verwundbare und abgesicherte Versionen
Der von OXID am gestrigen Dienstag veröffentlichte Sicherheitshinweis nennt die Versionen 6.0.0 bis einschließlich 6.0.4 sowie 6.1.0 bis einschließlich 6.1.3 als verwundbar. Betroffen seien sowohl die Community ("CE")- als auch die Enterprise("EE)- und die Professional Edition ("PE") der Shop-Software.
Das Entwicklerteam hat die Sicherheitslücke in den Versionen 6.0.5 und 6.1.4 von CE, EE und PE geschlossen. Damit sind diese Versionen zugleich auch (indirekt) gegen eine zweite, von RIPSTECH im selben Blogeintrag beschriebenen Lücke abgesichert, die nach Aussage eines RIPSTECH-Mitarbeiters nur in Kombination mit der ersten ausnutzbar ist. (ovw)
