Neuigkeiten Timeline

Medizin, Gesundheit, Wellness
Juli 18, 2026

10 Jahre Yasmin Mohr Osteopathie Bensheim

Unternehmen, Wirtschaft, Finanzen
Juli 17, 2026

IRIS begleitet Adaptive ML vom Seed-Investment zum Exit an Datadog

Computer, Information, Telekommunikation
Juli 17, 2026

AOC präsentiert: Gaming-Monitore CU34G4CA und CU34G4ZCA

Unternehmen, Wirtschaft, Finanzen
Juli 17, 2026

Human Quality Capital: Wiesbadener Führungsexpertin erhält höchste Auszeichnung für Zukunftsansatz im KI-Zeitalter

Kunst, Kultur
Juli 17, 2026

Stadt Dachau – vielfältiges Kultur- und Freizeitprogramm lädt zum Entdecken ein

Bildung, Karriere, Schulungen
Juli 17, 2026

Buch Mitarbeiterbindung: Jetzt im Handel!

Unternehmen, Wirtschaft, Finanzen
Juli 17, 2026

Cyberangriff auf Unternehmen und Selbständige: Soforthilfe durch Rechtsanwälte für Cyberkriminalität

Bildung, Karriere, Schulungen
Juli 17, 2026

Young Talents Day: Nachwuchsförderung in der Wiener Top-Hotellerie

Allgemein
Juli 17, 2026

Sieben Fragen vor jedem Online-Marketing-Vertrag

IT, NewMedia, Software
Juli 17, 2026

KI-Richtlinie für Unternehmen: Security Awareness Toolbox zukünftig mit kostenloser Vorlage

IT, NewMedia, Software
Juli 17, 2026

ISO 27001 Audit erneut bestanden: niteflite steht für geprüfte IT-Sicherheit

Immobilien
Juli 17, 2026

Hotel Sansibar: Hotel Green Ocean Zanzibar eröffnet nach umfassendem Design-Upgrade

Medizin, Gesundheit, Wellness
Juli 17, 2026

Ein Jahr nach Gründung: Schweizer Nahrungsergänzungs-Startup Revitera liefert in 13 europäische Länder

Kunst, Kultur
Juli 17, 2026

Spannung, Abgründe und die Suche nach Gerechtigkeit

Race Condition Sicherheitslücke in nopCommerce ermöglicht Single Packet Exploits

In der beliebten Open-Source-Shopsoftware nopCommerce (bis einschließlich Version 4.60.4) ist eine kritische Sicherheitslücke entdeckt worden, mit der ein Angreifer, eine Geschenkkarte mithilfe einer Technik namens „Single-Packet-Attack“ mehrfach einlösen kann. Richtig durchgeführt, können Angreifer so Artikel kostenlos erhalten. Die Schwachstelle wurde von Sicherheitsforschern von Outpost24 identifiziert und betrifft die parallele Verarbeitung von Anfragen auf Webseiten, die nopCommerce einsetzen.

Im Detail handelt es sich um eine sogenannte Race-Condition-Schwachstelle, bei der ein Angreifer in zwei verschiedenen Sitzungen dem Warenkorb Artikel hinzufügen, und dann in jeder der beiden Sitzungen denselben Geschenkkarten-Code eingeben kann. Im Zahlungsprozess beider Sitzungen kann der Angreifer einen Single-Packet-Angriff durchführen, wenn er die an /checkout/OpcConfirmOrder/ ausgehende Anfrage abfängt. Wenn beide Anfragen parallel verarbeitet werden, prüfen beide das Guthaben der Geschenkkarte, bevor es auf einen neuen Wert aktualisiert wird, was eine Race-Condition zur Folge hat.

Die Gefahr: Race Conditions lassen sich nur schwer aufspüren, da sie oftmals nur unter bestimmten Bedingungen wie bei Timings oder unter Last auftreten. Hinzu kommt, dann Nichtreproduzierbare Programmfehler, alias „Heisenbugs“ das Hinzufügen eines Logging-Mechanismus oder die Verwendung eines Debuggers allein das Timing des Programms genug verändern können, um den Fehler zu verbergen.

Patch verfügbar – Betreiber sollten handeln

Das Entwicklerteam von nopCommerce hat bereits reagiert und einen Sicherheits-Patch veröffentlicht, um die Lücke zu schließen. Betreiber von Webshops, die auf nopCommerce basieren, sollten dringend ihre Installationen auf den aktuellen Stand bringen und ihre Systeme auf potenzielle Anzeichen eines Missbrauchs überprüfen.

Weitere technische Details zur Schwachstelle sowie Hinweise zur Behebung liefert der vollständige Blogbeitrag: https://outpost24.com/de/blog/cve-2024-58248-nopcommerce-wettlaufsituation-schwachstelle/.

Outpost24 unterstützt Unternehmen bei der Verbesserung ihrer Cyber-Resilienz mit einem umfassenden Angebot an CTEM-Lösungen (Continuous Threat Exposure Management). Die intelligente Cloud-Plattform von Outpost24 vereinheitlicht das Asset-Management, automatisiert die Schwachstellenbewertung und quantifiziert Cyber-Risiken im geschäftlichen Kontext. Führungskräfte und Sicherheitsteams auf der ganzen Welt vertrauen darauf, dass Outpost24 die wichtigsten Sicherheitsprobleme innerhalb ihrer Angriffsfläche identifiziert und priorisiert, um die Risikominderung zu beschleunigen. Outpost24 wurde 2001 gegründet und hat seinen Hauptsitz in Schweden und den USA. Weitere Niederlassungen befinden sich in Großbritannien, den Niederlanden, Belgien, Dänemark, Frankreich und Spanien. Besuchen Sie https://outpost24.com/ für weitere Informationen.

Firmenkontakt
Outpost24
Patrick Lehnis
Gierkezeile 12
10585 Berlin
+49 160-3484013
outpost24.com/de/

Pressekontakt
Sprengel & Partner GmbH
Lisa Wolf
Nisterstraße 3
56472 Nisterau
+49 2661 91260-0

Startseite

(Visited 16 times, 1 visits today)
Original erstellt für www.hasselwander.co.uk

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert