Eine Sicherheitslücke bedroht zahlreiche Magento-Versionen. Mittels eines manipulierten Javascript-Codes könnten Administratordaten ausgespäht und auch verändert werden. Deshalb hat Magento ein Patch-Bundle bereitgestellt, mit dem Magento-User diese sicherheitsrelevanten Probleme beheben können.
(Bildquelle Schloss mit Loch: wk1003mike via Shutterstock)
Nach Angaben von t3n ist der Hinweis auf eine XSS-Sicherheitslücke bei Magento zuerst auf dem Sucuri-Blog aufgetaucht. Konkretisiert befindet sich der fehlerhafte Code in den Magento-Core-Libraries direkt im Administrator-Backend. Weil die Sicherheitslücke ein sogenannter Stored-XXS-Bug ist, könnten Hacker damit den kompletten Online-Shop übernehmen, dadurch neue Administrator-Konten anlegen sowie Kundendaten entnehmen beziehungsweise manipulieren.
Magento hat auf die Sicherheitslücke umgehend reagiert und ein Patch-Bundle bereitgestellt, das die Probleme beheben soll. Dabei handelt es sich um den SUPEE-7405-Patch, vom Typ Cross-site-Skripting-Stored (XSS).
Nach Informationen von heise.de hat Magento versichert, dass bislang noch keine Sicherheitslücke ausgenutzt werden konnte. Wer nicht dazu kommt, auf Magento CE 1.9.2.3 und Magento EE 1.14.2.3 zu aktualisieren, sollte seine Online-Shops wenigstens durch eine Firewall schützen. Da Magento selbst den Bug durchaus als kritisch eingeschätzt hat, sollte die Aktualisierung auf die richtige Magento-Version schnellstmöglich nachgeholt werden.