Magento dichtet mit einer aktuellen Sammlung von Patches für Nutzer seines Shop-Systems 20 Schwachstellen in der Software ab. Davon sind zwei XSS-Lücken (Cross Site Scripting), die der Hersteller als kritisch einstuft.
Durch diese Lücken sollen Angreifer Schadcode online auf die Server übertragen und dann im schlimmsten Fall sogar die Kontrolle über Internetseiten erlangen können.
Allerdings versichert Magento dazu, dass bis jetzt noch keine dieser Schwachstellen ausgenutzt wurde. Die Betreiber von Magento-Shops sollten zügig die abgesicherte Version 1.9.2.3 von Magento CE bzw. die Version 1.14.2.3 von Magento EE installieren, weil alle vorherigen Versionen gefährdet sein sollen.
Details zu den XSS-Lücken
Eine der beiden XSS-Lücken sollen Angreifer dadurch nutzen können, daß sie bei der Kundenregistrierung eines Online-Shops eine Email-Adresse angeben, die JavaScript enthält.
Das Magento-System prüft diese Eingabe nicht auf Plausibilität und führt den Code einfach mit Admin-Rechten aus, bestätigt der Hersteller. Ein Angreifer könne darüber hinaus auch eine Admin-Session kapern und damit den Online-Shop vollständig übernehmen.
Die zweite der kritischen XSS-Schwachstellen erlaubt einem Angreifer, mit einem präparierten Kommentar zu einer Bestellung der Datenbank JavaScript unterjubeln. DieserJava- Code wird dann ausgeführt, wenn ein Admin diese Bestellung aufruft, bestätigt Magento. Auch über diese Lücke könnte ein Angreifer Admin-Sessions kapern.
