- Sie haben noch keine Artikel in Ihrem Warenkorb.
Test für Security Advisory - 2026/03 v1.1
TOP
Security Advisory - 2026/03 v1.1
Im Rahmen einer Sicherheitsüberprüfung wurden mehrere Schwachstellen in verschiedenen Komponenten des Shops identifiziert und durch ein Update behoben.
1. Unsichere Token-Generierung in StyleEdit
Im Modul StyleEdit wurde bei der Erzeugung von Authentifizierungs- beziehungsweise Sicherheitsschlüsseln keine ausreichend kryptografisch sichere Zufallsquelle verwendet. Da die Generierung teilweise auf vorhersagbaren Parametern beruhte, bestand das theoretische Risiko, dass ein Angreifer gültige Token ableiten und unautorisierten Zugriff auf geschützte Backend-Funktionen erlangen konnte. Die Schwachstelle wurde durch die Umstellung auf eine kryptografisch sichere Zufallswertgenerierung behoben. Bereits vorhandene, potenziell unsichere Schlüssel werden im Zuge des Updates automatisch ersetzt.
2. SQL-Injection in Eigenschaften- und Variantenlogik
Im Bereich der Verarbeitung von Artikeleigenschaften und Varianten wurden übermittelte Parameter nicht in allen Fällen ausreichend validiert und bereinigt, bevor sie in Datenbankoperationen einflossen. Dadurch bestand die Möglichkeit einer SQL-Injection, über die manipulierte Eingaben unerwünschte Datenbankabfragen auslösen konnten. Da die betroffenen Funktionen auch über öffentlich erreichbare Frontend-Prozesse angesprochen werden konnten, war ein Angriff unter Umständen ohne Authentifizierung möglich. Das Update schließt diese Schwachstelle durch eine konsequente Validierung, Typprüfung und Bereinigung aller relevanten Eingabedaten.
3. Unzureichende Validierung in der Attribut-Preisberechnung
In der dynamischen Preisberechnung für Artikelattribute wurden bestimmte Eingabewerte vor der weiteren Verarbeitung nicht ausreichend geprüft. Fehlerhafte oder manipulierte Parameter konnten dadurch Ausnahmezustände in der Berechnungslogik verursachen und im ungünstigsten Fall die Stabilität des Systems beeinträchtigen. Mit dem Update wurde eine vollständige Eingabevalidierung an den betroffenen Stellen implementiert, um unzulässige Werte frühzeitig abzufangen und fehlerhafte Berechnungen zu verhindern.
4. Unsere Empfehlung
Zur unmittelbaren Risikominimierung wird dringend empfohlen, das Sicherheitsupdate schnellstmöglich zu installieren, sämtliche Zugangsdaten von Shop-Administratoren sowie das Datenbankpasswort zu erneuern und die gesamte Shop-Installation gezielt auf kompromittierte oder nachträglich eingeschleuste Backdoor-Dateien zu untersuchen.
1. Unsichere Token-Generierung in StyleEdit
Im Modul StyleEdit wurde bei der Erzeugung von Authentifizierungs- beziehungsweise Sicherheitsschlüsseln keine ausreichend kryptografisch sichere Zufallsquelle verwendet. Da die Generierung teilweise auf vorhersagbaren Parametern beruhte, bestand das theoretische Risiko, dass ein Angreifer gültige Token ableiten und unautorisierten Zugriff auf geschützte Backend-Funktionen erlangen konnte. Die Schwachstelle wurde durch die Umstellung auf eine kryptografisch sichere Zufallswertgenerierung behoben. Bereits vorhandene, potenziell unsichere Schlüssel werden im Zuge des Updates automatisch ersetzt.
2. SQL-Injection in Eigenschaften- und Variantenlogik
Im Bereich der Verarbeitung von Artikeleigenschaften und Varianten wurden übermittelte Parameter nicht in allen Fällen ausreichend validiert und bereinigt, bevor sie in Datenbankoperationen einflossen. Dadurch bestand die Möglichkeit einer SQL-Injection, über die manipulierte Eingaben unerwünschte Datenbankabfragen auslösen konnten. Da die betroffenen Funktionen auch über öffentlich erreichbare Frontend-Prozesse angesprochen werden konnten, war ein Angriff unter Umständen ohne Authentifizierung möglich. Das Update schließt diese Schwachstelle durch eine konsequente Validierung, Typprüfung und Bereinigung aller relevanten Eingabedaten.
3. Unzureichende Validierung in der Attribut-Preisberechnung
In der dynamischen Preisberechnung für Artikelattribute wurden bestimmte Eingabewerte vor der weiteren Verarbeitung nicht ausreichend geprüft. Fehlerhafte oder manipulierte Parameter konnten dadurch Ausnahmezustände in der Berechnungslogik verursachen und im ungünstigsten Fall die Stabilität des Systems beeinträchtigen. Mit dem Update wurde eine vollständige Eingabevalidierung an den betroffenen Stellen implementiert, um unzulässige Werte frühzeitig abzufangen und fehlerhafte Berechnungen zu verhindern.
4. Unsere Empfehlung
Zur unmittelbaren Risikominimierung wird dringend empfohlen, das Sicherheitsupdate schnellstmöglich zu installieren, sämtliche Zugangsdaten von Shop-Administratoren sowie das Datenbankpasswort zu erneuern und die gesamte Shop-Installation gezielt auf kompromittierte oder nachträglich eingeschleuste Backdoor-Dateien zu untersuchen.
5. Hinweis zum Datenschutz
Werden Hinweise auf eine mögliche Kompromittierung festgestellt, ist der Vorfall gemäß Art. 33 und Art. 34 DSGVO an die zuständige Datenschutzaufsichtsbehörde zu melden sowie gegenüber betroffenen Endkunden offenzulegen. Die Meldung an die Behörde muss unverzüglich erfolgen.
