Im OXID eShop 6 wurde eine Sicherheitslücke gefunden, die einen Angreifer über eine speziell gestaltete URL vollen Zugriff auf den Adminbereich ermöglicht.
Damit kann der Angreifer vollen Zugriff auf den OXID eShop 6, inkl. Kundendaten, Datenbank, usw. erhalten.
Da es (lt. OXID Forum) in der „Hacker- und Sicherheitsszene“ bereits mehrere Blog-Posts zu dieser Sicherheitslücke gibt, ist ein schnelles Handeln dringend erforderlich.
Betroffene Shopversionen:
OXID eShop 6.0 und 6.1
Was ist zu tun?
Es ist ein Shopupdate auf die Versionen 6.0.5 bzw. 6.1.4 erforderlich, in denen das Problem behoben wurde.
Alternativ wird von OXID eine provisorische Notlösung genannt.
Die von uns betreuten Shops mit Wartungsvertrag wurden selbstverständlich bereits auf die neuste Version geupdatet.
Alle anderen Shopbetreiber werden gebeten, Ihre Shopversion dringend zu prüfen und ggf. das aktuelle Update einzuspielen.
Gerne stehen wir bei Fragen jederzeit zur Verfügung oder führen das notwendige Update kurzfristig für Sie durch.
Weitere Hinweise zum Security Bulletin 2019-001 finden Sie unter https://oxidforge.org/en/security-bulletin-2019-001.html