Eine jetzt bekannt gewordene kritische Sicherheitslücke in xt:Commerce 3 und mehreren Abkömmlingen der Onlineshop-Lösung wird zurzeit aktiv ausgenutzt, um Namen, Mail-Adressen und Passwort-Hashes von Online-Shop-Kunden zu stehlen.
Es wurden schon mehr als 230.000 Kundendatensätze vor allem aus Deutschland und Österreich geklaut. Anfällig für den Angriff sind nach Angaben von Heise wohl die Shop-Software xt:Commerce 3, commerce:SEO Version 1 und Modified – die Varianten xt:Commerce 4, Gambio und die aktuelle Version commerce:SEO sind nicht anfällig.
Bei der benutzten Sicherheitslücke handelt es sich im eine SQL-Injection-Schwachstelle in der Funktion Sofortkauf, über die sich die Angreifer Zugriff auf nahezu beliebige Datenbank-Inhalte verschaffen können.
Das Problem wurde von den Entwicklern von commerce:SEO aufgedeckt, die auch einen Server im Internet lokalisierten, der gestohlene Datensätze enthielt. Die in der Zwischenzeit informierten Shop-Betreiber sollten deshalb dringend ihre Kunden warnen, dass ihr Passwort kompromittiert wurde.
Die Shopsoftware xt:Commerce 3 wird nicht mehr gepflegt und trotzdem noch häufig eingesetzt. Wer aber heute immer noch xt:Commerce3 benutzt, sollte dringend auf eine Shop-Software umsteigen, die noch gepflegt und mit Sicherheits-Updates versorgt wird. Alles andere muss man inzwischen als recht unverantwortlichen Umgang mit den anvertrauten Daten der Kunden ansehen.
