Kritische Sicherheitslücke bei xtCommerce, Gambio, Modified

13.12.2013 von Matthias Finke

Entwickler von Gambio haben bei internen Tests eine kritische Sicherheitslücke in ihrem Shopsystem entdeckt. Das Gambio-Shopsystem basiert auf dem Shopsystem xtCommerce, das ebenfalls von der Sicherheitslücke betroffen ist, ebenso wie Modified und sicherlich einige andere Weiterentwicklungen der populären Software.

Konkret kann ein Angreifer durch den Fehler die Kontrolle über den kompletten Shop übernehmen, indem er die Kontrolle über den Admin-Nutzer erhält. Dies funktioniert mittels XSS (Cross-Site-Scripting) und CSRF (Cross-Site-Request-Forgery). Auch wenn der Angreifer darauf angewiesen ist, dass der Shopbesitzer seinen Admin-Account zumindest noch einmal aufruft, ist diese Sicherheitslücke als besonders gefährlich einzustufen.
Diese Shop-Versionen sind betroffen:

  • xtCommerce bis Version 3.04 SP2.1
  • Gambio bis v2.0.13.3
  • Modified (alle Versionen)

Auf den Webseite von Gambio und Modified gibt es bereits einen ersten Patch für die verwendeten Shopsysteme; außerdem gibt es bei Gambo einen inoffiziellen Patch für die xtCommerce-Versionen. Der Hersteller teilte gegenüber heise.de mit, dass es keinen offiziellen Patch mehr für das seit 2008 nicht mehr weiterentwickelte System geben wird. Die aktuelle xtCommerce Version 4 sei nicht von der Sicherheitslücke betroffen.

Besondere Gefahr geht von der Seite “Wer ist online” aus, die Admin-Benutzer bis zur Installation des Patches unbedingt meiden sollten.

Über den/die Autor/in:
Matthias Finke
Matthias Finke