Zurück zur Übersicht

OXID - Shopupdate schließt Sicherheitslücke im Adminbereich (Security Bulletin 2019-002)

05.11.2019

von: Oliver Ramm

Durch eine kürzlich bekannt gewordene Sicherheitslücke können Angreifer Zugang zum Administrationsbereich bekommen. Der Benutzer mit Administratorrechten klickt versehentlich auf eine von Angreifer manipulierte, fehlerhafte URL und berechtigt so den Angreifer zum Zugriff auf den Administrationsbereich. Dadurch kann die Kontrolle über den gesamten Shop gewonnen werden.

Diese Sicherheitslücke wurde von einem IT Consultant des Unternehmens ALDI SÜD entdeckt.

Betroffen sind laut dem am 5.11.2019 von Oxid veröffentlichtem Security Bulletin 2019-002 alle Editionen.
Für die Versionsnummern 4.9, 4.10, 5.2, 5.3 liegen Hotfixes vor, ältere Versionen können aber auch betroffen sein.

Ein Update auf die Version v6.0.6 bzw. v6.1.5, mit denen die Sicherheitslücke behoben wurde, wird dringend empfohlen.

Jetzt Update Angebot anfordern

Kategorien: Neuigkeiten | Schlagworte: Bug, Bugfix, fix, OXID Backend, OXID News, Sicherheit, Sicherheitslücke

Sharing is caring - teile den Beitrag

Lust auf mehr?

Grips-Letter abonnieren und nichts mehr verpassen.

Der Grips-Letter erscheint alle 1 - 2 Wochen. Du kannst dich jederzeit wieder abmelden. Deine Daten werden nicht weiter gegeben. Hier erfährst du mehr über den Grips-Letter. Hier findest du unsere Datenschutzerklärung.

Beitrag kommentieren

Wie alle anderen Websites verwendet auch unsere Cookies. Wenn du unsere Website verwendest, stimmst du dem zu.

Folgende Cookies zulassen:

Alle akzeptieren

Mehr Infos


Welche Cookies werden gesetzt?

Marketing
_fbp Dieses Cookie verwendet Facebook, um Werbeprodukte anzuzeigen.
Notwendig
PHPSESSID Behält die Einstellungen der Seite des Benutzers bei allen Seitenanfragen bei.
robin_marketing_popup Sorgt dafür, dass das Marketing-Popup nicht bei jedem Seitenwechsel erneut aufpoppt.
dwa_cookie_noticed Speichert die Einwilligungen zu den Cookies für ein Jahr. Dieser Cookie kann zurückgesetzt werden, wenn die Einwilligung entzogen werden soll.
Statistik
_pk_id Matomo - Cookie zum Speichern einiger Details über den Benutzer, z. B. der eindeutigen Besucher-ID (anonymisiert), notwendig zum Zählen wiederkehrender Besucher. - Speicherdauer 13 Monate
_pk_ses Matomo-Cookie zur Speicherung Sessionabhängiger Nutzerdaten - Speicherdauer 30 Minuten