Logo Joomlainfo

Joomlainfo News & Infos

Wissenswertes rund um das Content Management

Hier könnte deine Werbung stehen! So wie das hier:

Kritische Sicherheitslücke in VirtueMart

a07bb170c4a36161aa1f8f4859c19794

Diese Woche wurde eine grobe Sicherheitslücke in der beliebten OnlineShop Komponente „VirtueMart“ bekannt.

Dabei wird es dem Angreifer ermöglicht, sich als registrierter Shop-Nutzer selber SuperAdmin-Rechte zu geben. Alle Versionen die älter als VM 2.6.10/2.9.9B sind, sind von diesem Problem betroffen.

Am Mittwoch hat der Sicherheits-Provider Sucuri die Lücke in VirtueMart publik gemacht. VirtueMart wurde bis heute mehr als 3.5 Millionen mal herunter geladen und ist somit nach wie vor stark verbreitet.

Da beim Online-Shopping nebst den personenbezogenen Daten u.a. auch Bezahldaten gespeichert werden, muss die Sicherheit bestmöglichst gewährleistet werden, um das Vertrauen der Kunden nicht unnötig zu belasten.

Dabei hat sich der VM-Entwickler zunächst etwas ungehalten reagiert und das Problem fälschlicherweise auf die Joomla-Eigene „JUser“ Klasse zugeschoben.

Doch die JUser-Klasse an sich ist nicht das Problem und gilt grundsätzlich als sicher, solange man sie korrekt anwendet. Das Problem liegt bei VirtueMart bei der nicht richtig eingesetzen JUser Klasse in der Komponente selbst.

Dabei werden benutzerbezogene Angaben ungeprüft in die DB-Tabelle übergeben, was einem Angreifer ermöglicht, sich eine andere Nutzerrolle (z.B. SuperAdmin) zu zuteilen. Auf diese Weise kann er die gesamte Kontrolle über die Website übernehmen.

Seit heute kann man den Patch, der dieses Problem beheben soll, mit der Versionsnummer 2.6.10 und 2.9.9B auf der Projektseite herunterladen. Jeder der VirtueMart einsetzt sollte schleunigst seine Komponente aktualisieren.

Für Shopbetreiber die aus irgendwelchen Gründen nicht aktualisieren können oder wollen, finden auf der Webseite des Entwickler eine Update-Anleitung um das Leck manuell zu schliessen. Da Sucuri das Leck detailliert beschrieben hat, muss ab sofort mit vermehrten Angriffen auf VirtueMart-Installationen gerechnet werden.

Quelle: sucuri.net

Facebook
Twitter
LinkedIn
Pinterest
WhatsApp
Email

Das könnte dich auch interessieren...

joomla 3.10.2

Joomla 3.10.2 und 4.0.3 Updates sind da

Das Joomla Projekt hat für seine beiden Joomla 3.10 und 4.0 Versionen weitere Updates veröffentlicht. Dabei hat man weitere Bugs gefixt und in einem Update 3.10.2 und 4.0.3 zusammengefasst. Das Update kann ab sofort aus dem Backend heraus installiert werden.

Weiterlesen »

Willkommen zurück, wir haben dich vermisst

Bitte anmelden, um alle Inhalte werbefrei lesen zu können.

Diese Website verwendet Cookies, um dir die bestmögliche Nutzung dieser Website zu ermöglichen. Wenn du weiterhin auf dieser Website surfst, akzeptierst du die Verwendung von Cookies. Mehr erfahren