🔴 Sicherheitswarnung für alle OXID-Shopbetreiber und Agenturen — bitte teilen

Deutsches Forum
1

Letzte Woche wurden mehrere OXID eShops über eine kritische SQL-Injection-Schwachstelle im Klarna-Modul (tc/tcklarna / fatchip-gmbh/oxid-klarna-6) aktiv angegriffen. Shops wurden dabei bereits beschädigt.

Was genau ist passiert?

Der öffentliche Callback-Endpunkt index.php?cl=KlarnaValidate verarbeitet den reference-Parameter aus eingehenden Klarna-Requests. Ist dieser Wert genau 64 Zeichen lang, wird er in Model/KlarnaArticle.php (Methode klarna_loadByArtNum()) ohne Prepared Statement direkt in eine SQL-Query interpoliert.

Ergebnis: Unauthentifizierte SQL-Injection — ohne Login, ohne Umweg.

Mögliche Auswirkungen: → Massenhaftes Überschreiben oder Löschen von Datenbankinhalten (oxcontents komplett geleert) → Blindes Auslesen von Kundendaten und Datenbankmetadaten → Remote Code Execution über Smarty-Template-Injection via [{php}]-Blöcke

Bin ich betroffen? So prĂĽft ihr es in 3 Minuten:

  1. Ist tc/tcklarna in eurem Shop installiert und aktiv?

  2. Ist index.php?cl=KlarnaValidate oder index.php?cl=klarna_validate öffentlich erreichbar?

  3. Gibt es in tcklarna_logs.tcklarna_requestraw Einträge mit UPDATE, SELECT, SLEEP oder CONCAT?

Wenn Punkt 1 und 2 zutreffen: sofort handeln.

SofortmaĂźnahmen bis zum offiziellen Patch:

→ Endpunkt auf WAF- oder Nginx-/Apache-Ebene blocken (beide Varianten: KlarnaValidate und klarna_validate) → Oder: Modul temporär deaktivieren, sofern Klarna nicht aktiv genutzt wird → Logs forensisch prüfen, ob der Shop bereits angegriffen wurde

Was wir bei ScaleCommerce getan haben:

Über unsere Hosting-Infrastruktur smoxy haben wir beide Endpunkte innerhalb von Minuten nach Bekanntwerden der Lücke für alle betroffenen Kunden geblockt — ohne Patch, ohne manuellen Eingriff je Shop.

Wer UnterstĂĽtzung bei der Analyse oder Absicherung braucht: meldet euch gerne direkt bei uns oder kommentiert hier. Wir helfen auch Shops, die nicht bei uns hosten.

Bleibt sicher.

Christian und das ScaleCommerce Team — scale.sc

2

Ein kleines Update um Euch die Suche nach möglichen Sicherheitslücken zu vereinfachen.

:locked_with_key: Wir haben ein neues Tool entwickelt, das euch bei der Shop-Absicherung helfen soll.

Die vergangenen Wochen haben gezeigt, wie schnell es gehen kann – Angriffe, Schadcode, kompromittierte Shops. Wir wollen sicherstellen, dass ihr für die Zukunft gerüstet seid.

Deshalb stellen wir sec-scan.ai vor: ein KI-gestĂĽtztes Scan-Tool, das wir speziell fĂĽr E-Commerce Shops entwickelt haben. Aktuell bieten wir die Scans kostenfrei an.

Das Besondere daran: Es findet nicht nur bestehenden Schadcode in eurem Shop – es zeigt euch auch die Schwachstelle im Code, durch die Angreifer überhaupt erst reinkommen konnten. Nur wer die Ursache kennt, kann sich dauerhaft schützen.

  • KI-basierte Erkennung von Malware und Einfallstoren
  • Speziell entwickelt fĂĽr E-Commerce Shops

Wir suchen Tester fĂĽr die erste Runde und freuen uns, gemeinsam mit euch euren Shop unter die Lupe zu nehmen.

Jetzt auf die Warteliste eintragen:
sec-scan.ai

Bei dringenden Fällen oder konkreten Anzeichen einer Kompromittierung – meldet euch gerne auch direkt bei uns. Wir kümmern uns.

Euer ScaleCommerce Security Team

3

Ergänzend zum Kommentar vom Christian möchten wir den Inhalt des bereits veröffentlichten Newsletter mit euch teilen, damit Ihr genau wisst, was ihr unternehmen müsst:

Es gibt eine kritische SQL-Injection-Schwachstelle in aktiv geschalteten Klarna/Kustom-Modulen. Diese Schwachstelle wird aktuell aktiv ausgenutzt.

Wichtig: Durch das Abschalten des Moduls kann die SicherheitslĂĽcke bereits geschlossen werden.

Worum geht es?

OXID eShop 6

  • Betroffenes Module: Klarna Checkout and Klarna Payments Module for the OXID eShop

  • Betroffene Modulversion: <5.8.0

OXID eShop 7

  • Betroffenes Modul: Kustom Checkout Module for the OXID eShop

  • Betroffene Modulversion: <1.1.0

  • Betroffenes Modul: Klarna Payments Module for the OXID eShop

  • Betroffene Modulversion: <1.3.0

Betroffen ist ein öffentlich erreichbarer Callback-Endpunkt im aktiviertem Modul: index.php?cl=KlarnaValidate

Bei eingehenden Klarna-Validierungsanfragen wird das Feld reference nicht ausreichend bereinigt. Ist der reference-Wert genau 64 Zeichen lang, kann er in bestimmten Modulversionen in eine SQL-Abfrage gelangen. Dadurch kann ein nicht authentifizierter Angreifer SQL-Befehle gegen die Shop-Datenbank ausfĂĽhren.

Mögliche Auswirkungen

  • Ăśberschreiben oder Löschen von Datenbankinhalten (z. B. Leerung der Tabelle oxcontents)

  • Auslesen von Datenbankinformationen (abgreifen aller Kundendaten möglich)

In der Folge ggf. weitere Angriffswege bis hin zu Code-Ausführung, abhängig von Setup/Template-Konfiguration.

Patch-Status

FĂĽr alle drei Module existieren bereits offizielle Patches von FATCHIP:

Was mĂĽsst ihr tun?

PrĂĽft, ob das Modul bei euch vorhanden ist.

Wenn es nicht vorhanden ist, dann besteht kein Handlungsbedarf.

Lösungswege

1. OXID 6.5.x: Module-Aktualisierung per Composer durchfĂĽhren

Variante A:

Ihr verwendet das Klarna-Modul ĂĽber ein Metapackage?
Startet das Terminal und navigiert in eurer Shop-Root Verzeichnis. Dort mĂĽsst ihr folgenden Befehl ausfĂĽhren (Beispiel, wenn im Admin z. B. Version 1.7.0 angezeigt wird. Kann aber auch eine andere sein):
Beispiel: composer require fatchip-gmbh/oxid-klarna-6:“v5.8.0 as v5.5.3”

Die eingetragene Version nach „as“ muss die von euch eingesetzte Klarna-Modul-Version sein.

Variante B:

Ihr verwendet das Klarna-Modul nicht ĂĽber das Metapackage?
Startet das Terminal und navigiert in eurer Shop-Root Verzeichnis. Dort mĂĽsst ihr folgenden Befehl ausfĂĽhren:

composer require fatchip-gmbh/oxid-klarna-6

**
Wichtig:** Stellt sicher, dass am Ende Klarna in der Version 5.8.0 installiert ist.

Hier prüft ihr es: Shop-Admin → Erweiterungen → Module → Klarna → Reiter „Stamm“ → Feld „Version“

2. OXID 7: Module-Aktualisierung per Composer durchfĂĽhren

2.1 Kustom Checkout Module fĂĽr OXID7: Update per Composer durchfĂĽhr en

Startet das Terminal und navigiert in eurer Shop-Root Verzeichnis. Dort mĂĽsst ihr folgenden Befehl ausfĂĽhren:

composer require fatchip-gmbh/kustom-checkout-oxid7

Wichtig: Stellt sicher, dass am Ende Kustom in der Version 1.1.0 installiert ist.

Hier prüft ihr es: Shop-Admin → Erweiterungen → Module → Klarna → Reiter „Stamm“ → Feld „Version“

2.2 Klarna Payments Module fĂĽr OXID7: Update per Composer durchfĂĽhren

Startet das Terminal und navigiert in eurer Shop-Root Verzeichnis. Dort mĂĽsst ihr folgenden Befehl ausfĂĽhren:

composer require fatchip-gmbh/oxid-klarna-7

Wichtig: Stellt sicher, dass am Ende Klarna in der Version 1.3.0 installiert ist.

Hier prüft ihr es: Shop-Admin → Erweiterungen → Module → Klarna → Reiter „Stamm“ → Feld „Version“

­

Bei Fragen oder wenn ihr UnterstĂĽtzung bei der ĂśberprĂĽfung oder Aktualisierung braucht, dann wendet euch an [email protected].

Viele GrĂĽĂźe,
eurer OXID eSales Team

4

Solltet ihr keine Mail erhalten haben und wollt zukĂĽnftig informiert werden, dann meldet euch einfach bei unserem Security Newsletter an.