Magento 1.5.0.0 enthält gravierende Sicherheitslücke!

10. Februar 2011

Im Root der aktuellen Magento Version 1.5.0.0 befindet sich eine Datei mit dem Namen get.php. Mit Hilfe dieser Datei kann jede beliebige Datei im Kundenaccount geöffnet und heruntergeladen werden, u.a. auch die app/etc/local.xml mit sensiblen Datenbankinformationen!

Derzeit füllt sich das Magento-Forum und einige Blogs mit ähnlichen Berichten, so dass wir derzeit DRINGEND von einem Update auf die aktuelle Version 1.5.0.0 abraten!

Wirft man einen Blick in den SourceCode könnte man davon ausgehen, dass dieser Code dem Auslesen von Daten aus einem Datenbank-Storage dient.

Sollten Sie bereits ein Update durchgeführt haben können Sie den Zugriff, durch hinzufügen der folgenden Zeilen zu Beginn der .htaccess Datei, unterbinden:

<Files „get.php“>
Deny from all
</Files>

Der Aufruf von http://IHRE-DOMAIN.TLD/get.php/app/etc/local.xml sollte dann nicht mehr funktionieren.

Ebenfalls interessant

PCI DSS 4.0 - Was du jetzt wissen musst

Ab dem 31. März 2025 wird die Einhaltung des Payment Card Industry Data Security Standard (PCI DSS) 4.0 für alle…

Anpassung des Nextcloud-Updatezyklus

In den letzten Monaten haben wir festgestellt, dass die Bereitstellung der jeweils neuesten Nextcloud-Version immer wieder zu unerwarteten Problemen geführt…

Magento Backend Fehler nach ICU 74.1 Update

Hintergrund & UrsacheIm Rahmen unserer monatlichen cPanel-Updates haben wir festgestellt, dass das jüngste Update auf ICU 74.1 in bestimmten Magento-Versionen…