Spree Commerce Security-Issue (fixed!)

Wir bei Taktsoft arbeiten gerne mit freier und quelloffener Software und versuchen auch manchmal etwas an diese Projekte zurückzugeben. So war es uns zuletzt möglich dazu beizutragen eine Sicherheitslücke in der API-Komponente von Spree Commerce zu schließen.

Blogpost - Screenshot
So wichtig war der Bug und so gab es als Belohnung eine namentliche Erwähnung.

Ein großer Vorteil von Open Source Software ist die Verfügbarkeit des Quelltextes. So ist man nicht ausschließlich auf die mitgelieferte Dokumentation angewiesen, sondern kann sich selbst ein genaues Bild der Umsetzung machen um ein besseres Verständnis zu erzielen. Im Zuge eines neuen Projektes haben wir die aktuelle stable Version 2.2 der Open Source E-Commerce Lösung Spree Commerce evaluiert. Dabei ist uns ein Sicherheitsproblem in der API-Komponente von Spree aufgefallen: Es war möglich ohne Authentifizierung sämtliche Informationen zu einer Bestellungen abzurufen wenn man nur eine Bestellnummer kannte oder erriet.

Somit war man in der Lage über die Schnittstelle sensible Daten wie Rechnungs- und Lieferadresse oder Kreditkarten- bzw. Zahlungsinformationen zu erhalten. Darüberhinaus erhielt man sogar die Möglichkeit diese Bestellung zu manipulieren.

Das erkannte Problem haben wir vertraulich behandelt und zunächst den Entwicklern von Spree gemeldet. Diese waren sehr freundlich und haben sich gleich der Sache angenommen. In weniger als zwei Wochen wurde mit einer neuen Version von Spree das Problem behoben.

Die Schnelligkeit und Freundlichkeit, mit der Spree sich dem Problem angenommen hat war für uns wieder eine sehr positive Erfahrung mit Open Source Software und hat uns weiter darin bestärkt solche Software zu nutzen. Es ist uns darüber hinaus eine Herzensangelegenheit diese Erfahrung hier zu teilen.


Zur Blog-Übersicht