zurück zum Artikel

Admins von Onlineshops sollten die Gambio-Software aus Sicherheitsgründen auf den aktuellen Stand bringen.

Shopsysteme auf Gambio-Basis sind verwundbar und Angreifer können Shops durch das Ausnutzen von als "kritisch" eingestufte Sicherheitslücken kompromittieren.

Der Hinweis findet sich im Forum der Shopsoftware [1]. Die Entwickler haben aber auch einen entsprechenden Eintrag im Admin-Dashboard veröffentlicht. Die Lücken betreffen dem Anbieter zufolge Gambio GX v4.6.0.1 bis v4.9.2.0. Das Security Update 2024-01 v1.0 steht im Gambio Shop zum Download.

Aus zwei Einträgen geht hervor, dass Angreifer über Insecure-Deserialization [2]- (CVE-2024-23759) und SQL-Injection-Attacken [3] (CVE-2024-23763) Schadcode ausführen können. Darüberhinaus erlaubt auch das Content-Management-System der Showsoftware Angreifern dank einer Upload-Lücke [4], schädliche Dateien auszuführen (CVE-2024-23762) und mittels einer speziell präparierten Smarty-Mailvorlage [5] (CVE-2024-23761) erreichen sie dasselbe Ziel. Ein Informationsleck in Klartextdateien [6] innerhalb des Gambio-Webverzeichnisses (CVE-2024-23760) haben die Entwickler ebenfalls behoben. Derzeit gebe es keine Hinweise auf Attacken.

(des [7])

URL dieses Artikels:
https://www.heise.de/-9609849

Links in diesem Artikel:
[1] https://gambio.de/forum/threads/wichtiges-security-update-2024-01-v1-0-fuer-gx4-v4-6-0-1-bis-v4-9-2-0.50827/
[2] https://herolab.usd.de/security-advisories/usd-2023-0046/
[3] https://herolab.usd.de/security-advisories/usd-2023-0047/
[4] https://herolab.usd.de/security-advisories/usd-2023-0049/
[5] https://herolab.usd.de/security-advisories/usd-2023-0048/
[6] https://herolab.usd.de/security-advisories/usd-2023-0050/
[7] mailto:des@heise.de

Copyright © 2024 Heise Medien