Shop-Software xt:Commerce offen für SQL-Injection
Von Klaus Ahrens
Eine Sicherheitslücke in der Shop-Software xt:Commerce lässt sich zum Einschleusen von SQL-Befehlen ausnutzen, wie die Entwickler in ihrem Blog schreiben. Hinweise, die darauf hindeuten, dass die Lücke schon aktiv genutzt wurde, gebe es noch nicht. Zur Beseitigung des Problems hat xt:Commerce die fehlerbereinigten Versionen 4.2.00, 4.1.10 und 4.1.00.
Betreiber eines Online-Shops mit xt:Commerce sollten so schnell wie möglich auf eine dieser aktuellen Versionen umsteigen. Kriminelle Angreifer können jetzt nämlich durch Vergleich einer verwundbaren und einer abgesicherten Version der PHP-Software für ihre Zwecke wertvolle Details über die SQL-Injection-Lücke herausfinden…