• IT-Karriere:
  • Services:

Kritische Sicherheitslücke: Angreifer können Adminrechte in Oxid-E-Shop erlangen

Eine Sicherheitslücke im E-Shop-System Oxid ermöglicht Angreifern den Zugriff auf das Admininterface, es kann auch Code ins Frontend injiziert werden. Aktuelle Versionen werden mit einem Patch abgesichert, für ältere existiert lediglich ein Workaround.

Artikel veröffentlicht am ,
Wer das Oxid-System einsetzt, sollte schnell patchen.
Wer das Oxid-System einsetzt, sollte schnell patchen. (Bild: Oxid Esales)

Der deutsche Softwarehersteller Oxid Esales hat eine kritische Sicherheitslücke in dem Produkt Oxid-E-Shop geschlossen. Angreifer konnten mithilfe manipulierter HTTP-Get- und HTTP-Post-Requests Zugriff auf das Admininterface erlangen. Mittlerweile gibt es einen Patch, außerdem lässt sich das Problem auch mit einem Workaround beheben.

Stellenmarkt
  1. Deutsches Klimarechenzentrum GmbH, Hamburg
  2. DMK E-BUSINESS GmbH, Berlin-Potsdam, Köln, Chemnitz

Die Sicherheitslücke wurde von dem Unternehmen selbst entdeckt, in mehreren Code-Audits soll sie zuvor unentdeckt geblieben sein. Betroffen sind alle Oxid-E-Shop-Produkte in der Enterprise-, Professional- und Community-Edition. Für die Sicherheitslücke wurde die CVE-2016-5072 vergeben.

Angreifer können sich in ungepatchten Systemen über das Frontend der Webseite Zugriff auf das Admininterface verschaffen und damit auf Kundendaten und die Datenbank zugreifen. Außerdem sollen Angreifer in der Lage sein, PHP-Code auszuführen oder anderen Code in das Frontend einzuschleusen.

Ältere Versionen mit Workaround absichern

Die aktuellen Versionen werden mit einem Update versorgt, das umgehend installiert werden sollte. Ältere Versionen hingegen lassen sich nur mit einem Workaround absichern.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Dazu sollte zunächst der Admin-Ordner über die htcaccess-Datei abgesichert werden. Oxid stellt dafür eine Anleitung bereit. Außerdem sollte der standardmäßig angelegte Adminnutzer ersetzt werden. Dazu muss im Admininterface zunächst ein neuer Nutzer mit entsprechenden Rechten angelegt werden. Nach einem erneuten Login mit dem neuen Benutzernamen muss an die URL der Zusatz "&cl=user_list&fnc=deleteentry&oxid=oxdefaultadmin" angehängt und mit Enter aufgerufen werden. Nach einem erneuten Login sollte überprüft werden, ob der ursprüngliche Admin-Nutzer tatsächlich entfernt wurde.

Außerdem kann die Anwendung mithilfe einer Webapplication-Firewall gegen einen Angriff abgesichert werden. Dazu hat Syseleven eine Implementation für Modsecurity entwickelt.

Disclaimer: Syseleven ist der Hoster von Golem.de.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

hg (Golem.de) 14. Jun 2016

Danke für den Hinweis, habe ich korrigiert.


Folgen Sie uns
       


Polestar 2 Probe gefahren

Wir sind mit dem Polestar 2 eine längere Strecke gefahren und waren von dem Elektroauto von Volvo angetan.

Polestar 2 Probe gefahren Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /