Oxid eSales liefert Patch für gravierende Sicherheitslücke
Der Hersteller empfiehlt allen Shop-Betreibern, die Aktualisierung umgehend einzuspielen. Sie steht für die OXID eShop Enterprise Edition 5.1.12 und 5.2.9 sowie die Professional Edition respektive Community Edition 4.8.12 und 4.9.9 zur Verfügung. Unbefugte könnten die Schwachstelle über das Frontend ausnutzen, um den Shop zu übernehmen.
Die OXID eSales AG hat eine schwerwiegende Sicherheitslücke in ihrer Software OXID eShop behoben. Der Bugfix steht für die OXID eShop Enterprise Editionen 5.1.12 und 5.2.9, sowie die Versionen 4.8.12 und 4.9.9 der Professional Edition beziehungsweise der Community Edition zur Verfügung. Der Hersteller rät allen Nutzern der Software dringend, das Sicherheits-Update umgehend einzuspielen.
Geschieht dies nicht, könnten Unbefugte mittels eines Angriffs über das Frontend administrativen Zugang erlangen und damit die Verwaltung des Shops unter ihre Kontrolle bringen. Der Hersteller hat eine FAQ-Seite für den Patch erstellt. Dort finden sich auch Anweisungen, wie das Update am besten installiert werden kann.
Laut CEO Roland Fesenmayr ist es in der 13-jährigen Firmengeschichte die erste Sicherheitslücke dieser Klassifizierung. Sie wurde vom Entwicklerteam des Freiburger Unternehmens selbst entdeckt und fiel bislang bei externen Audits nicht auf. Bislang ist nach dem Kenntnisstan des Anbieters kein Shop-System aufgrund des nunmehr behobenen Problems erfolgreich angegriffen worden. Wie üblich könnten aber Kriminelle nun versuchen, über den Patch die Lücke ausfindig zu machen und dann gezielt in ungepatchte Systeme einzudringen.