Sicherheitslücke in Modified ecommerce und Shophelfer Shops

Es wurde eine Sicherheitslücke in Modified ecommerce und Shophelfer Shops entdeckt.

Wer ist betroffen?

Betroffen sind alle Händler, die in ihrem Admin unter Konfiguration als E-Mail Transportmethode „mail“ angehakt haben.

Was ist die Ursache?

Ursache ist nicht der Shop selbst, sondern die Mail-Funktion mit der der Shop seine E-Mails versendet. Diese filtert die E-Mail Adressen nicht ordentlich, so das Schadcode eingeschleust werden kann.

Wie schlimm ist die Sicherheitslücke ?

Auf unserer internen Bewertungsskala haben wir dieser Lücke eine 7 / 1 gegeben.
Die 7 bedeutet: rein durch die Lücke selbst könnte man den gesamten Shop übernehmen, was der schlimmstmögliche Fall wäre.
Die /1 dahinter bedeutet: der Shop selbst filtert die E-Mail Adressen, somit ist es unwahrscheinlich, das diese Lücke ausgenutzt werden kann. Dadurch wird das Ganze auf 1 zurückgestuft.

Was sollte ich nun tun?

Im Prinzip gar nichts. Wenn Sie ganz sicher gehen wollen, können Sie die Lücke durch uns schließen lassen, jedoch wurde uns durch Modified mitgeteilt, das das Shopsystem bereits einen Filter besitzt und es somit unwahrscheinlich ist, das diese Lücke aktiv genutzt werden kann. Mietshop-Kunden brauchen sich um nichts kümmern, hier aktualisieren wir die Mailfunktion unaufgefordert.

Mehr Informationen: Lücke in PHPMailer erlaubt die Ausführung fremden Codes