LinkBack URL
About LinkBacks
VirtueMart: Kunde erlangt Superuserrechte!
Hallo Leute!
Dies ist mein erster Beitrag im Forum. Bisher gehörte ich nur zu den stillen Mitlesern und habe schon viel von den Infos hier profitiert!
Nun meine ich aber, eine kritische Sicherheitslücke in VirtueMart 1.1.0 entdeckt zu haben.
Folgendes Phänomen:
EIn Kunde legt etwas in den Warenkorb und geht zur Kasse. Anschließend wird dieser nach seinen persönlichen Daten gefragt und trägt diese - nebst Benutzernamen und Passwort - ein. Am Ende ist aber der Warenkorb wie von Geisterhand wieder geleert und Kunde verlässt enttäuscht das Portal (ein Fehler, dem ich noch nicht auf der Spur gekommen bin).
Ich habe dies gesehen und wollte daraufhin den Shop erst einmal schließen und in Ruhe auf Fehlersuche gehen, kann mich aber mit meinen Zugangsdaten nicht mehr ins BackEnd einloggen.
Daraufhin habe ich mir die Datenbank angesehen und musste zu meinem großen Erschrecken feststellen, dass besagter Kunde meine Zugangsdaten mit seinen überschrieben hatte. Daraufhin hatte also dieser Kunde Superuserrechte und hätte allerlei Unfug anstellen können!!
Ich habe dann die Daten geändert, mich eingeloggt und erstmal den Shop geschlossen.
Aber das ist ja ein Fataler BUG, der sonstwas verursachen kann.
Ist jemanden etwas in der Richtung bekannt? Ist der Fehler verifizierbar?
Ich werde jetzt gleich meinen Shop mal testweise öffnen und mich als Kunde registrieren. Mal sehen, was passiert. In jedem Fall ein beunruhigender Vorgang...
Bye, Mike
Zitieren
Zitat von patzi
Lesezeichen