Daily Archives: 3. November 2008

XSS: xt:Commerce

Wenn ich irgendwo lese Agentur XY hat einen Relaunch der WebSite für YZ durchgeführt… dann schaue ich da natürlich auch mal nach XSS – ich bin, was so etwas angeht, irgendwie sehr neugierig. ;O)

Heute las ich wieder solch eine Meldung. Es ging um einen neuen Shop, der mit xt:Commerce (xt-commerce.com) realisiert wurde und zwar in der Version v3.0.4 SP2.1. Tja, was soll ich sagen… natürlich (!?) gibt es dort auch eine XSS-Lücke. Also habe ich mir mal den Demo-Shop der Entwickler angeschaut – in der Annahme das dort die neueste Version läuft – aber dort wird die Version v3.0.4 SP2 benutzt. Auch dort gibt es diese Lücke. Daraufhin habe ich die Jungs angeschrieben und auf diese Lücke hingewiesen, eben kam die Antwort:

Danke für den Hinweis, aber der Demoshop ist keine aktuelle xt:Commerce Version.

In aktuellster Version ist dies nicht mehr Möglich.

Leider ist auf der xt:Commerce-WebSite nicht zu erkennen welche Version die aktuellste ist, da dort nur von v3.0.4 die Rede ist.

Laut dem hier (gunnart.de) ist die 3.0.4 SP2.1 von August 2006. Scheint mir nicht mehr so ganz frisch zu sein… wird das Projekt nicht mehr gepflegt? Bei Open Source ist eine zwei Jahre alte Version ja irgendwie asbach. ;O)

Von gunnart gibt es evtl. auch einen Lösungsansatz (gunnart.de) für die XSS-Lücke. Da ich selber xt:Commerce nicht verwende kann ich nicht sagen ob die class.inputfilter.php alle Eingaben filtert oder nur aus bestimmten Eingabefeldern.

Nach kurzer Recherche, nach Shops die xt:Commerce benutzen, sieht es so aus, als ob nicht alle Shops betroffen sind. Evtl. wurden bei den nicht betroffenen Shops bereits Änderungen an der class.inputfilter.php vorgenommen.

Um zu prüfen ob der eigene Shop betroffen ist kann man einfach mal in den Suchschlitz "><h1>XSS</h1> einfügen und die Suche starten. Sollte dann irgendwie etwas ungewöhnliches angezeigt werden, so hat der Shop auch eine XSS-Lücke.