Zehntausende von Online-Shops haben ein Problem: Die Shopsoftware xt:Commerce 3 und deren Forks wie Gambio und Modified haben zwei Schwachstellen, die es zusammen Angreifern gestatten, Shops komplett zu übernehmen.
Nach ersten groben Schätzungen wird die Software in ungefähr 50.000 Shops genutzt. Es gibt allerdings schon Workarounds und Patches, um sich dagegen zu schützen.
Entdeckt wurde die Lücke von Gambio-Entwicklern, die das Problem selbst als kritisch einstuften und alle ihre registrierten Shopbetreiber schon informierten. Die Lücken wurden bei internen Tests entdeckt. Deshalb nehmen die Entwickler an, dass sie aktuell noch nicht aktiv ausgenutzt werden. Das könnte sich aber nach dem Bekanntwerden jetzt sehr schnell ändern.
Es handelt sich bei den Sicherheitslücken um ein persistentes XSS (Cross Site Scripting)- und ein CSRF (Cross Site Request Forgery)-Problem. Richtig ausgenutzt, können Angreifer damit den Admin-Zugang des Shops übernehmen. Betroffen sind davon xt:Commerce bis Version 3.04 SP2.1, Gambio bis v2.0.13.3, Modified (alle Versionen) und möglicherweise noch weitere xt:Commerce-Weiterentwicklungen.
