Kritische Fehler in der OXID eShop-Software - Admijalo Technology
OXID eShop

Kritische Fehler in der OXID eShop-Software

Wenn Deine E-Commerce-Website auf der OXID eShop-Plattform ausgeführt wird, musst Du sie sofort aktualisieren, um eine Gefährdung Deiner Website zu vermeiden.

 

Cybersecurity-Forscher haben zwei kritische Sicherheitslücken in der E-Commerce-Software OXID eShop entdeckt, durch die nicht authentifizierte Angreifer in wenigen Sekunden die vollständige Kontrolle über anfällige E-Commerce-Websites aus der Ferne erlangen können.

OXID eShop ist eine der führenden deutschen E-Commerce-Shop-Softwarelösungen, deren Enterprise Edition von Branchenführern wie Mercedes, BitBurger und Edeka eingesetzt wird. Sicherheitsforscher der RIPS Technologies GmbH teilten ihre neuesten Erkenntnisse mit.

Es ist zu beachten, dass absolut keine Interaktion zwischen dem Angreifer und dem Opfer erforderlich ist.

OXID eShop: SQL-Injection-Fehler

Die erste Sicherheitslücke, die als CVE-2019-13026 bekannt wurde, ist eine SQL-Injection-Sicherheitslücke, die es einem nicht authentifizierten Angreifer ermöglicht, auf einer Website, auf der eine anfällige Version der OXID eShop-Software ausgeführt wird, einfach ein neues Admin-Konto mit einem Kennwort seiner Wahl zu erstellen.

OXID eShop: Fehler bei der Remote-Codeausführung

Die zweite Sicherheitslücke ist ein PHP-Objektinjektionsproblem, das sich im Verwaltungsbereich der OXID eShop-Software befindet und auftritt, wenn vom Benutzer eingegebene Eingaben nicht ordnungsgemäß bereinigt werden, bevor sie an die PHP-Funktion unserialize () übergeben werden.

Diese Sicherheitslücke kann ausgenutzt werden, um Remotecodeausführung auf dem Server zu ermöglichen. Es ist jedoch ein Admin-Zugriff erforderlich, der über die erste Sicherheitslücke abgerufen werden kann.

Einmal erfolgreich, können Angreifer aus der Ferne bösartigen Code auf dem zugrunde liegenden Server ausführen oder ein eigenes bösartiges Plug-in installieren, um die Kreditkarten, PayPal- Kontoinformationen und alle hochsensiblen Finanzinformationen, die das eShop-System passieren zu stehlen.