xt:Commerce - Cross-Site-Scripting Schwachstelle

Gjoko Krstic von Zero Science Lab hat auf eine Cross-Site-Scripting (XSS) Schwachstelle im beliebten Online-Shop System xt:Commerce aufmerksam gemacht. Die Lücke wurde in der aktuellen Version VEYTON 4.0.15 gefunden, betroffen sind alle Editionen (Professional/Merchant/Ultimate).

Durch einen Fehler beim Parsen des User-Inputs via POST im Admin-Panel, kann schadhafter Code in der aktuellen Browser-Session ausgeführt werden. Es existiert bereits ein fertiges Sample-File, um diese Schwachstelle auszunutzen.

Es ist generell zu empfehlen, das Admin-Panel eines Content-Management- oder Shop-Systems nicht von außen für jedermann zugänglich zu machen.

Quellen:
cxsecurity
Zero Science Lab

Autor: Matthias Fraidl