Grobe Sicherheitslücke bei Dropper für JTL-Shop4

Es existiert eine Sicherheitslücke in dem Plugin “Dropper” der Firma Kreativkonzentrat für JTL-Shop4, die es Angreifern ermöglicht, Schadcode direkt auf dem Server auszuführen. Das ist auch bereits geschehen – in eigenen Store von Kreativkonzentrat. Auf der Seite von Kreativkonzentrat kann man sich die Sicherheits-Vorkommnisse genauer ansehen und findet dort auch eine genaue Anleitung wie man seinen Shop patchen muss, um die Lücke zu schließen.

Achtung: Die Lücke betrifft auch alle Kunden, die Dropper nur zu Testzwecken installiert haben und inzwischen wieder deinstalliert haben. Trotz der Deinstallation befinden sich noch Dateien auf dem Server. Am besten löschen Sie das Verzeichnis /includes/plugins/kk_dropper . Weitere Informationen erhalten Sie vom Hersteller unter https://kreativkonzentrat.de/Wiki/security-issues