Kategorien: Erweiterungen

Kritische Sicherheitslücke in VirtueMart

Teilen

Diese Woche wurde eine grobe Sicherheitslücke in der beliebten OnlineShop Komponente “VirtueMart” bekannt.

Dabei wird es dem Angreifer ermöglicht, sich als registrierter Shop-Nutzer selber SuperAdmin-Rechte zu geben. Alle Versionen die älter als VM 2.6.10/2.9.9B sind, sind von diesem Problem betroffen.

Am Mittwoch hat der Sicherheits-Provider Sucuri die Lücke in VirtueMart publik gemacht. VirtueMart wurde bis heute mehr als 3.5 Millionen mal herunter geladen und ist somit nach wie vor stark verbreitet.

Da beim Online-Shopping nebst den personenbezogenen Daten u.a. auch Bezahldaten gespeichert werden, muss die Sicherheit bestmöglichst gewährleistet werden, um das Vertrauen der Kunden nicht unnötig zu belasten.

Dabei hat sich der VM-Entwickler zunächst etwas ungehalten reagiert und das Problem fälschlicherweise auf die Joomla-Eigene “JUser” Klasse zugeschoben.

Doch die JUser-Klasse an sich ist nicht das Problem und gilt grundsätzlich als sicher, solange man sie korrekt anwendet. Das Problem liegt bei VirtueMart bei der nicht richtig eingesetzen JUser Klasse in der Komponente selbst.

Dabei werden benutzerbezogene Angaben ungeprüft in die DB-Tabelle übergeben, was einem Angreifer ermöglicht, sich eine andere Nutzerrolle (z.B. SuperAdmin) zu zuteilen. Auf diese Weise kann er die gesamte Kontrolle über die Website übernehmen.

Seit heute kann man den Patch, der dieses Problem beheben soll, mit der Versionsnummer 2.6.10 und 2.9.9B auf der Projektseite herunterladen. Jeder der VirtueMart einsetzt sollte schleunigst seine Komponente aktualisieren.

Für Shopbetreiber die aus irgendwelchen Gründen nicht aktualisieren können oder wollen, finden auf der Webseite des Entwickler eine Update-Anleitung um das Leck manuell zu schliessen. Da Sucuri das Leck detailliert beschrieben hat, muss ab sofort mit vermehrten Angriffen auf VirtueMart-Installationen gerechnet werden.

Quelle: sucuri.net

Roger Perren

Letzte Beiträge

Joomla! 4 und neue Freunde kennenlernen

Kann man kostenlos Joomla! 4.0 besser kennenlernen und gleichzeitig noch neue Joomla!Spezialisten kennenlernen? Weiterlesen

vor 1 Woche

Strukturierte Daten in Joomla! einbauen

Wie bekomme ich meine FAQ Inhalte schön strukturiert in die Google Suchmaschine? Franz Hollweck zeigt dir in diesem Artikel, wie… Weiterlesen

vor 2 Wochen

Joomla! 3.9.12 Update erschienen!

Das Joomla! 3.9.12 Update behebt eine kleinere Sicherheits-Lücke sowie 33 gemeldete Probleme, die in diesem Release behoben wurden. Weiterlesen

vor 3 Wochen

Interview mit Hannes Papenberg zu Joomla! 4

Ich hatte die Gelegenheit, mit Hannes Papenberg ein paar Fragen zu stellen. Erfahre hier, was Hannes im Joomla! Projekt alles… Weiterlesen

vor 2 Monaten

Für wen ist Joomla! 4 gut?

Mit Joomla! 3 kamen immer mehr neue Funktionen rein. Mit Joomla! 4 sollte alles besser werden. Ist dem so? Und… Weiterlesen

vor 2 Monaten

Joomla! 3.9.11 Update erschienen!

Das Joomla! 3.9.11 Update behebt eine kleinere Sicherheits-Lücke sowie 29 gemeldete Probleme, die in diesem Release behoben wurden. Weiterlesen

vor 2 Monaten