Die Shop-Software xt:Commerce weist eine Sicherheitslücke auf, die sich zum Einschleusen von SQL-Befehlen ausnutzen lässt, schreiben die Entwickler in ihrem Blog.
Es soll angeblich noch keine Hinweise darauf geben, dass die Lücke schon aktiv von Kriminellen genutzt wurde. Die inzwischen von den xt:Commerce-Entwicklern bereitgestellten fehlerbereinigten Versionen 4.2.00, 4.1.10 und 4.1.00 beseitigen das Problem.
Wer also Online-Shops mit xt:Commerce betreibt oder verwaltet, sollte möglichst umgehend auf eine dieser aktuellen Versionen umsteigen. Denn jetzt können kriminelle Angreifer ja durch Vergleich einer verwundbaren und einer abgesicherten Version der in PHP geschriebenen Software für ihre kriminellen Zwecke wertvolle Einzelheiten über die SQL-Injection-Lücke herausfinden…