Im Oxid Forum wurde heute morgen ein Eintrag verfasst, der auf eine kritische Sicherheitslücke in sämtlichen Shopversionen hinweist. Und zwar geht es darum, dass bei der Verwendung des Gutschein Exports die entsprechende csv-Datei in einen ungeschützen Unterordner des Shopsystems kopiert wird. Diese wurde von “Hackern” heruntergeladen und es wurden zahlreiche darin enthaltene Gutscheincodes für Bestellungen mißbraucht.
OXID-Forum: Sicherheitslücke in OXID eShop
Im Blog des OXID Partners top concepts wurde bereits ein ausführlicher Eintrag über die Sicherheitslücke und Maßnahmen zur Behebung vorgestellt. Der Eintrag ist unter folgender URL zu finden:
Erklärung der Sicherheitslücke von top concepts
Erschreckend ist jedoch, dass die Sicherheitslücke laut top concepts schon seit langer Zeit im OXID Support bekannt ist, bisher aber keinerlei Maßnahmen ergriffen wurden diese zu schließen.
Ich bin gespannt wie es weitergeht…
#1 von Thorsten Barth unter 8. Juli 2010
Auszug aus der AKTUELLEN OXID DOkumentation (Stand 08.07.2010). Die eklatante Sicherheitslücke ist immer noch enthalten und wird sogar als Feature positiv in der Doku erwähnt:
—————————————-
Gutscheine exportieren/abrufen
Mit der Export-Funktion haben Sie die Möglichkeit, alle noch nicht verbrauchten Gutscheine anzuzeigen:
* Klicken Sie auf die Registerkarte Export
* Klicken Sie auf Export
Die noch nicht verbrauchten Gutscheine wurden nach /export/oxexport.csv exportiert. Diese Datei können Sie z. B. mit dem Browser aufrufen: http://www.ihreshop.de/export/oxexport.csv
—————————————-
Hier klafft doch wohl eine Lücke zwischen OXIDs Anspruch und der Realität…
#2 von Michael unter 3. August 2010
Oh, gerade erst gesehen. Danke für den Hinweis! Bugs als Features zu verkaufen ist leider in letzter Zeit kein Einzelfall bei Oxid. Es mangelt halt an wirklichen Shop-Alternativen.