Race Condition Sicherheitslücke in nopCommerce ermöglicht Single Packet Exploits
02.09.2025 / ID: 432575
IT, NewMedia & Software
In der beliebten Open-Source-Shopsoftware nopCommerce (bis einschließlich Version 4.60.4) ist eine kritische Sicherheitslücke entdeckt worden, mit der ein Angreifer, eine Geschenkkarte mithilfe einer Technik namens "Single-Packet-Attack" mehrfach einlösen kann. Richtig durchgeführt, können Angreifer so Artikel kostenlos erhalten. Die Schwachstelle wurde von Sicherheitsforschern von Outpost24 identifiziert und betrifft die parallele Verarbeitung von Anfragen auf Webseiten, die nopCommerce einsetzen.
Im Detail handelt es sich um eine sogenannte Race-Condition-Schwachstelle, bei der ein Angreifer in zwei verschiedenen Sitzungen dem Warenkorb Artikel hinzufügen, und dann in jeder der beiden Sitzungen denselben Geschenkkarten-Code eingeben kann. Im Zahlungsprozess beider Sitzungen kann der Angreifer einen Single-Packet-Angriff durchführen, wenn er die an /checkout/OpcConfirmOrder/ ausgehende Anfrage abfängt. Wenn beide Anfragen parallel verarbeitet werden, prüfen beide das Guthaben der Geschenkkarte, bevor es auf einen neuen Wert aktualisiert wird, was eine Race-Condition zur Folge hat.
Die Gefahr: Race Conditions lassen sich nur schwer aufspüren, da sie oftmals nur unter bestimmten Bedingungen wie bei Timings oder unter Last auftreten. Hinzu kommt, dann Nichtreproduzierbare Programmfehler, alias "Heisenbugs" das Hinzufügen eines Logging-Mechanismus oder die Verwendung eines Debuggers allein das Timing des Programms genug verändern können, um den Fehler zu verbergen.
Patch verfügbar - Betreiber sollten handeln
Das Entwicklerteam von nopCommerce hat bereits reagiert und einen Sicherheits-Patch veröffentlicht, um die Lücke zu schließen. Betreiber von Webshops, die auf nopCommerce basieren, sollten dringend ihre Installationen auf den aktuellen Stand bringen und ihre Systeme auf potenzielle Anzeichen eines Missbrauchs überprüfen.
Weitere technische Details zur Schwachstelle sowie Hinweise zur Behebung liefert der vollständige Blogbeitrag: https://outpost24.com/de/blog/cve-2024-58248-nopcommerce-wettlaufsituation-schwachstelle/.
Firmenkontakt:
Outpost24
Gierkezeile 12
10585 Berlin
Deutschland
+49 160-3484013
outpost24.com/de/
Pressekontakt:
Sprengel & Partner GmbH
Lisa Wolf
Nisterau
Nisterstraße 3
+49 2661 91260-0
Diese Pressemitteilung wurde über PR-Gateway veröffentlicht.
Für den Inhalt der Pressemeldung/News ist allein der Verfasser verantwortlich. Newsfenster.de distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen.
Empfehlung | devASpr.de
Kostenlos Artikel auf newsfenster.de veröffentlichen
Kostenlos Artikel auf newsfenster.de veröffentlichen
Weitere Artikel von Outpost24
17.12.2025 | Outpost24
Outpost24 sichert sich eine neue Investition zur Skalierung seiner Exposure-Management- und Identity-Security-Lösungen
Outpost24 sichert sich eine neue Investition zur Skalierung seiner Exposure-Management- und Identity-Security-Lösungen
12.12.2025 | Outpost24
Phishing unter dem Weihnachtsbaum: Warum die Festtage Cyberkriminellen in die Karten spielen
Phishing unter dem Weihnachtsbaum: Warum die Festtage Cyberkriminellen in die Karten spielen
09.12.2025 | Outpost24
Outpost24 übernimmt Infinipoint, um seinen Markteinstieg in das Zero-Trust-Zugriffsmanagement zu beschleunigen
Outpost24 übernimmt Infinipoint, um seinen Markteinstieg in das Zero-Trust-Zugriffsmanagement zu beschleunigen
20.11.2025 | Outpost24
Outpost24 als Challenger und Fast Mover im GigaOm Radar für Penetration Testing as a Service (PTaaS) ausgezeichnet
Outpost24 als Challenger und Fast Mover im GigaOm Radar für Penetration Testing as a Service (PTaaS) ausgezeichnet
18.11.2025 | Outpost24
Black Week im Visier - Hacker auf Schwachstellenjagd
Black Week im Visier - Hacker auf Schwachstellenjagd
Weitere Artikel in dieser Kategorie
05.02.2026 | ProCoReX Europe GmbH
Computer und PC Entsorgung in Potsdam: ProCoReX Europe GmbH bietet die zertifizierte Datenträgervernichtung
Computer und PC Entsorgung in Potsdam: ProCoReX Europe GmbH bietet die zertifizierte Datenträgervernichtung
05.02.2026 | ATVISIO Consult GmbH
SüdWestStrom gewinnt ATVISIO Award 2025
SüdWestStrom gewinnt ATVISIO Award 2025
03.02.2026 | PARIS AG
datango expandiert: Neuer Standort in Fort Lauderdale stärkt Präsenz im US-Markt
datango expandiert: Neuer Standort in Fort Lauderdale stärkt Präsenz im US-Markt
03.02.2026 | Moers GmbH
erm4sn 6.0 bietet Cross-Instance Drift Detection und CMDB-Intelligenz
erm4sn 6.0 bietet Cross-Instance Drift Detection und CMDB-Intelligenz
03.02.2026 | ProCoReX Europe GmbH
Computer und PC Entsorgung in Leipzig: ProCoReX Europe GmbH garantiert zertifizierte Datenträgervernichtung
Computer und PC Entsorgung in Leipzig: ProCoReX Europe GmbH garantiert zertifizierte Datenträgervernichtung
