Bosko Stankovic von der Sicherheitsfirma DefenseCode entdeckte bereits im November 2016 eine Lücke im verbreiteten E-Commerce-System Magento. Dieses lädt dabei ein Preview-Bild herunter, wenn zu einem Produkteintrag ein Vimeo-Video hinzugefügt wird.

Wenn die Datei ungültig ist, bindet das System diese zwar nicht ein, löscht sie aber auch nicht vom Server. Wenn die Anfrage nach dem Preview-Bild anschließend auf eine andere URL verändert wird, kann auf diesem Weg eigener Code auf dem Server ausgeführt werden.

Bereits Mitte November informierte DefenseCode Magento über die Sicherheitslücke. Der Entwickler handelte bisher nicht, bestätigte allerdings die Angriffsmöglichkeit. Anfang April reagierte der Hersteller auf eine erneute Anfrage überhaupt nicht mehr. Daher entschloss sich Stankovic zur Veröffentlichung seines Security Advisory zur "Magento Arbitrary File Upload Vulnerability".

Magento Versionen, die mit Standard-Einstellungen betrieben werden, sind nur begrenzt von der Lücke betroffen. Ein Angreifer muss zum ausnutzen der Lücke bereits Zugriff auf das Shop-System besitzen. Ein regulärer Benutzer-Account ohne Administratorrechte reicht hierfür allerdings aus.

Laut dem Analyse-Dienst BuiltWith setzen knapp 237.000 Websites auf Magento. Unter anderem Burger King, Coca Cola, Fraport und Liebherr.

(ms, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE