Für die Shopsoftware cpCommerce ist ein Update 1.2.7 erschienen, das Logins ohne gültige Anmeldedaten verhindern soll. Ursache des Problems ist ein Fehler in _functions.php, durch den sich beliebige PHP-Variablen überschreiben lassen. Damit soll es durch präparierte HTTP-Requests möglich sein, an Admin-Rechte zu gelangen und sogar eingeschleusten PHP-Code auszuführen.

Der Fehler wurde in Version 1.2.6 entdeckt. Andere Versionen sind möglicherweise ebenfalls betroffen. Anwender sollten das Update so bald wie möglich installieren, da auf Milw0rm bereits ein Exploit zum Ausnutzen der Lücke erschienen ist.

Siehe dazu auch:

• Topic: v1.2.7 has been released!, Meldung auf cpcommerce