VirtueMart

Sicherheitslücke Virtuemart / Moneybookers

Nachdem Lücken in der Paypal-Bezahlschnittstelle von VirtueMart festgestellt und gefixt wurden, trifft es nun die Moneybookers-Schnittstelle (com_moneybookers bzw. VirtueMart-Komplettpaket von http://virtuemart.de), die gravierende Lücken aufweist. In einem Test gelang es unseren Entwicklern, VirtueMart erfolgreiche Bezahlvorgänge vorzutäuschen und somit Bestellungen auf "Confirmed" (bezahlt) zu setzen. Selbst bei installierter aber nicht aktivierter Moneybookers-Schnittstelle war es unter bestimmten Bedingungen möglich (näheres wird nicht erklärt ;-) ) beliebige Bestellungen in ihrem Status zu manipulieren.

Weiterlesen...

Kritische Sicherheitslücken in VirtueMart / PayPal

fpCOM - IT Professionals hat im Bezahlprozess des Onlineshopsystems VirtueMart kritische Sicherheitslücken entdeckt.
Betroffen sind alle Version inklusive der aktuellen Version 1.1.7
Die Lücken ermöglichen es, während des Zahlungsablaufes die Bestellungen auf den Status "Confirmed" zu setzen und somit als bezahlt zu  markieren. Besonders Shops, die Downloadprodukte verkaufen, sind besonders gefährdet. Hier werden die Downloadlinks sofort freigeschaltet. Aber auch konventionelle Onlinestores können dem Bug zum Opfer fallen, wenn der Versand der Produkte nur auf Grundlage des Bestellstatus veranlasst wird.

fpCOM - IT Professionals hat inzwischen Kontakt mit VirtueMart-Entwicklern aufgenommen und die Lösung des Problems angestoßen.
Solange bis eine fehlerbereinigte Version erhältlich sein wird, achten Sie verstärkt auf Ihre Zahlungseingänge.
Die Patches zur Behebung des Problems existieren bereits und werden in Kürze auch hier veröffentlicht.

Sollten Sie unsicher sein, ob auch Ihr Shop betroffen ist oder Sie Hilfe bei der Behebung der Sicherheitslücke benötigen, so steht Ihnen unser Team jederzeit beratend zur Seite.

Support Online

Softwareentwicklung & Server
   Fabian Petzold
   Tel.: +49 30 577-07373-0
   eMail.: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
   XING

Webdesign & CMS
   Christine Funk
   Tel.: +49 30 577-07373-1
   eMail.: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

   XING

Content & Werbung
   Christine Funk
   Tel.: +49 30 577-07373-1
   eMail.: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Referenzen und Kunden