Demnach existiert offenbar eine bisher unbekannte Luecke, mittels derer es Angreifern moeglich ist, eigenen Code innerhalb der Magento-Installation auf einem Shop-Server einzubauen. Hierfuer werden durch Securi mehrere unterschiedliche Beispiele gezeigt, die an unterschiedlichen Stellen der Magento-Software auf verschiedenen Servern gefunden wurden. Allen gemein ist allerdings, dass es von Benutzer-Seite aus keinerlei Moeglichkeit gibt, einen solcherart kompromittierten Server zu erkennen.
Derzeit kann eine Kreditkartenzahlung bei Magento nutzenden Online-Shops also nur als sicher betrachtet werden, wenn die Zahlungsabwicklung direkt ueber den Anbieter der Kreditkarte erfolgt und nicht durch Uebermittlung der Kreditkartendaten an den Shop-Betreiber. Selbst dieser Weg koennte moeglicherweise mit deutlich hoeherem Aufwand noch kompromittiert werden, dies ist aber bisher anscheinend nicht versucht worden.
Ein mit Magento betriebener Shop laesst sich daran erkennen, dass sich im Quellcode der Seite die Zeilen
Code: Alles auswählen
Mage.Cookies.path = '/';
Mage.Cookies.domain = '.www.xxx.yyy';
Code: Alles auswählen
www.xxx.yyy
Code: Alles auswählen
www.nureinbeispielshop.de