Betroffene Versionen: Alle Magento-Versionen der Community-Edition bis 1.7.0.1 sowie der Enterprise Edition bis 1.12.01!

Einfallstor ist das Zend XMLRPC-Interface. Auch wenn es nicht genutzt wird, bleibt eine Lücke, über die ein Angreifer Zugriff auf Dateien des Server erlangt – das schliesst auch Konfigurationsdateien und je nach Serverkonfiguration andere heikle Dateien mit ein.

Abhilfe schafft
a) ein Update auf die neuste Release
b) ein PATCH
c) ein Workaround, der aber das XMLRPC praktisch komplett deaktiviert

Wir bestätigen die erfolgreiche Beseitigung der Lücke auf Entwicklungssystemen und diversen Wirkplattformen.

Selbstverständlich beantworten wir gerne etwaige Fragen und helfen bei der Beseitigung der Lücke!

weitere Informationen im Magento-Blog (englisch)