Hier könnte deine Werbung stehen! So wie das hier:

Kategorien: Erweiterungen

Kritische Sicherheitslücke in VirtueMart

Teilen

Diese Woche wurde eine grobe Sicherheitslücke in der beliebten OnlineShop Komponente “VirtueMart” bekannt.

Dabei wird es dem Angreifer ermöglicht, sich als registrierter Shop-Nutzer selber SuperAdmin-Rechte zu geben. Alle Versionen die älter als VM 2.6.10/2.9.9B sind, sind von diesem Problem betroffen.

Am Mittwoch hat der Sicherheits-Provider Sucuri die Lücke in VirtueMart publik gemacht. VirtueMart wurde bis heute mehr als 3.5 Millionen mal herunter geladen und ist somit nach wie vor stark verbreitet.

Da beim Online-Shopping nebst den personenbezogenen Daten u.a. auch Bezahldaten gespeichert werden, muss die Sicherheit bestmöglichst gewährleistet werden, um das Vertrauen der Kunden nicht unnötig zu belasten.

Dabei hat sich der VM-Entwickler zunächst etwas ungehalten reagiert und das Problem fälschlicherweise auf die Joomla-Eigene “JUser” Klasse zugeschoben.

Doch die JUser-Klasse an sich ist nicht das Problem und gilt grundsätzlich als sicher, solange man sie korrekt anwendet. Das Problem liegt bei VirtueMart bei der nicht richtig eingesetzen JUser Klasse in der Komponente selbst.

Dabei werden benutzerbezogene Angaben ungeprüft in die DB-Tabelle übergeben, was einem Angreifer ermöglicht, sich eine andere Nutzerrolle (z.B. SuperAdmin) zu zuteilen. Auf diese Weise kann er die gesamte Kontrolle über die Website übernehmen.

Seit heute kann man den Patch, der dieses Problem beheben soll, mit der Versionsnummer 2.6.10 und 2.9.9B auf der Projektseite herunterladen. Jeder der VirtueMart einsetzt sollte schleunigst seine Komponente aktualisieren.

Für Shopbetreiber die aus irgendwelchen Gründen nicht aktualisieren können oder wollen, finden auf der Webseite des Entwickler eine Update-Anleitung um das Leck manuell zu schliessen. Da Sucuri das Leck detailliert beschrieben hat, muss ab sofort mit vermehrten Angriffen auf VirtueMart-Installationen gerechnet werden.

Quelle: sucuri.net

Roger Perren

Letzte Beiträge

Wie man in Joomla! Clickjacking verhindert

Was ist Clickjacking, wie funktioniert es und wie kann ich meine Joomla! Seite davor schützen?… Weiterlesen

vor 3 Tagen

Das Joomla!-Projekt ist im Wahlmodus

Wärst du in der Lage, einem an Joomla! Interessierten zu erklären, wie das Joomla! Projekt… Weiterlesen

vor 1 Woche

Neues Joomla! Template Verzeichnis

Vor einigen Jahren wollte Joomla! ein Template Verzeichnis ins Leben rufen, dass analog dem Erweiterungen… Weiterlesen

vor 2 Wochen

Welches Admin-UI soll es denn sein?

Als ich über Atum und Khonsu vor einigen Monaten berichtet hatte, ahnte ich nicht, was… Weiterlesen

vor 2 Wochen

Der Publisher-Workflow in Joomla! 4 – Teil 2

Aktuell kennt Joomla! nur die Stati «Publiziert» und «Nicht Publiziert». In Joomla 4 wird die… Weiterlesen

vor 3 Wochen

Joomla! kinderleicht in eine Web-App verwandeln

ExtensionCoder.com hat den PWA-Entwicklungsprozess einer Joomla-Site mit einem Plugin namens «Progressive Web App Maker» auf… Weiterlesen

vor 4 Wochen