Ich gebe jetzt auch noch einmal meinen Senf dazu. Mein Eintag gilt jetzt nur für die Version 4.9+ - 26.03. Alle die, die das Update "Security Update 2026-03 v1.0" am 26.03.2026 nach 17:30 Uhr runtergeladen und die Dateien in den Shop kopiert haben, laden dann auch einfach das Paket "Security Update 2026-03 v1.1 (v4.9+)" runter und kopieren auch hier die Dateien einfach rüber. Mehr ist nicht zu machen, es ist keine Rücksicherung von irgend welchen Dateien notwendig. Wichtig dann noch das aus der Email von heute machen: Fangt am Besten mit Punkt 4 an und schaut im Themes Ordner nach dem Ordner der da nicht hingehört. Wenn der nicht da ist, dann erst einmal entspannt die anderen Dinge prüfen. Sollte der Ordner da sein dann eilt es und alles sonst aus der Email dringend durchführen. Für alle die im runtergeladenen Paket "Security Update 2026-03 v1.0" diese Dateien hatten (war das erste falsche Paket, vermutlich so am 26.03 vor 16-17:30Uhr, kann ich aber nicht genau sagen) \system\classes\checkout\CheckoutProcessProcess.inc.php \system\classes\csv\CSVFunctionLibrary.inc.php \system\classes\csv\CSVSource.php Diese müssen sich aus einem Backup mit dem Stand vor dem kopieren des Sicherheits Updates, die 3 Dateien wieder zurück kopieren. Ich hoffe ich konnte etwas beitragen.
Du bist nicht der einzige. Das Schadensmanagement von Gambio ist mal wieder grausam. Habt ihr denn aus den Problemen vom August 2025 gar nichts gelernt? Erst falsche Dateien, dann die Updatestruktur in dem Security Patch nicht ganz eingehalten (ok, verschmerzbar bei 4 Dateien) und dann werden nicht alle Kunden umfangreich informiert. Manche bekommen eine Mail, manche nicht. Und das wo die drei Sicherheitslücken, die in den Dateien zu finden sind, echt heftig sind. Was ich mich allgemein frage: Wie kann eine solche Lücke min. 5 Jahre in den Shops sein. Gibts bei euch kein Code-Review? Besonders die Möglichkeit der SQL-Injections über die Produkt-Varianten...dass die durch ein Review gekommen ist, wo ihr doch zwischendurch auf Varianten umgebaut habt? Mir ein Rätsel. Warum nicht einfach einen Testskript zur Verfügung stellen? Auf den von mir angebotenen Servern sind teilweise tausende Logs vorhanden, da ich den Kunden die Möglichkeit gebe wirklich lange zurück zu suchen. Viel Spaß beim durchsuchen von 2900 komprimierten Logs. Meine Kunden bekommen jetzt alle eine Prüfung. Ich bin absolut sprachlos...wie lange ist die Übernahme von eCommerceOne jetzt her? Würde gern mal in eure Bücher schauen, wieviele Kunden mittlerweile das Weite gesucht haben. Nicht wenige sind meines Wissens bei Shopify gelandet.
bei mir funktioniert das security update nicht, es zerschießt mir den shop, der slider ist plötzlich an einer anderen stelle, bilder von der startseite sind nicht mehr da, kategorien sind nicht aufrufbar habe gestern ein kritisches technisches problem ticket aufgemacht aber bisher keine antwort, schade dass man in so einer situation man so alleine gelassen wird
Ich weiß nicht, ob das von mir jetzt weiterhilft: Ich habe 1.0 am 26.03. vor 16 Uhr verarbeitet, später dann 1.1 und die besagten Dateien sind bei mir vom 25.09.25 und 26.01.26, also deutlichst davor.
Dafür wurde schon mehrfach von Gambio geschrieben ein Ticket zu eröffnen, auch hier im Beitag: https://www.gambio.de/forum/threads...-email-info-gambio-de-ist-nicht-bekannt.52772 Du sollst doch einfach nur in deine Zip Datei vom Sicherheitsupdate "Security Update 2026-03 v1.0" schauen ob die 3 besagten Dateien da drin sind. Wenn nein hast du doch gar kein Problem mit dem Update.
Ich würde gern verstehen, wie diese Sicherheitslücke jetzt erst aufgefallen ist, wenn scheinbar alle möglichen Versionen betroffen sind: 26.03. + 27.03: Gambio meldet Sicherheitslücke + Patch 28.03: Shop soll geprüft werden Betroffene Shops sind erst seit dem 24.03 bzw. 26.03. betroffen? Oder gibt es hier noch andere? Wurde die Sicherheitslücke jetzt erst ausgenutzt? Wie hat Gambio das mitbekommen?
Also die Sicherheitslücke hätte theoretisch wohl seit vielen Jahren schon genutzt werden können. Nach Prüfung der Sicherheitspatches kann ich auch sagen, dass auch mein 3.9er Shop von 2018 (...ja, ich weiß...) davon betroffen gewesen wäre. Also bei 4.0 zieht Gambio die Grenze der Unterstützung für diesen Sicherheitspatch. Aber definitiv sind die Shops nicht erst ab 4.0, sondern auch davor betroffen. Ich hatte vor 2 Monaten einen 4.1.3er Shop (der aber eh abgeschaltet werden sollte), der komplett gehackt war. Habe den dann aber komplett gelöscht und kann leider nicht mehr sagen ob es DIESE Art Angriff gewesen war. Edit: Ich sehe nur aktuell die Angriffsversuche nach "Indikator 1" der Gambio E-Mail. Mit tatsächlich dem Injection Mist in der ID. Aber die Versuche waren bei mir NUR am 24.03.2026, nicht davor, nicht danach. Und wohl nicht erfoglreich, da keiner der weiteren Indikatoren vorliegt. Na, ich hoffe mal.... Ich hab aber vorsorglich mal ein Backup vom Tag davor sichergestellt... Edit2: Ein weiterer Shop hat gar keine Angriffsversuche zu verzeichnen. Glück gehabt.
Laut Gambio sollen wir jetzt alle gelöschten Logs prüfen. Ich gehe davon aus, dass Gambio meint: Toolbox / Logs anzeigen Und dann in der Auswahl nach POST suchen. Wenn dann da keine POST drinnen ist zur Auswahl, ist dann alles OK. Kann hier halt nur einige Tage sehen... Wo komme ich an die Server-Logs ran?
Bedeutet gleiches Verzeichnis in /themes => gleiche Angreifer? Gibt es schon Hinweise wie die Lücke ausgenutzt wurde? Wurden Daten geklaut, Dateien Manipuliert, weiterer Schadecode installiert? Auch wenn alles theoretisch möglich gewesen wäre, was ist bisher bekannt?
In der Gambio-Email war der Hinweis, dass die Angriffe zum Teil wohl nicht aus der EU kommen. Das ist natürlich keine neue Erkenntnis und war einer der Gründe, warum ich vor einer Weile mal die .htaccess so eingestellt habe, dass nicht-EU-Besucher direkt umgeleitet werden. Jemand mit mehr Ahnung als ich kann ja mal was dazu sagen, ob das tatsächlich ein bisschen mehr Sicherheit gegen solche Angriffe bietet, oder ob ich mir da was einbilde. Wir sind auf jeden Fall nicht betroffen aktuell. Das ist der Code, dafür muss mod_maxminddb auf dem server laufen: Code: <IfModule mod_maxminddb.c> MaxMindDBEnable On RewriteEngine on MaxMindDBFile DB /var/lib/GeoIP/GeoLite2-Country.mmdb MaxMindDBEnv MM_COUNTRY_CODE DB/country/iso_code RewriteCond %{ENV:MM_COUNTRY_CODE} !^(BE|BG|DK|DE|EE|FI|FR|GR|IE|IT|HR|LV|LT|LU|MT|NL|AT|PL|PT|RO|SE|SK|SI|ES|CZ|HU|CY|US|CA|GB|IS|NO|LI)$ RewriteRule ^(.*)$ https://redirect.euershop.de/ [L] </IfModule> Neben den EWR Ländern ist noch US, CA und GB mit drin zur Sicherheit. Ich hatte bedenken, dass ein Webscraper der großen Suchmaschinen uns sonst nicht mehr findet. Bisher hatten wir damit keinerlei Probleme. Dadurch dass EWR komplett erlaubt ist, verstößt es auch nicht gegen die Geoblocking-Verordnung.
Kann vielleicht sein das es etwas länger dauert, bis sie dich finden, aber wenn die sowieso über einen Proxyserver arbeiten, bist du genau so Mode.
Interessant ist, dass diese Woche jemand einmalig aus dem Telekom Netz geprüft hat ob es das Verzeichnis gx_se_cache gibt. Ob das vielleicht Gambio selbst war und deshalb nicht alle Betreiber die E-Mail erhalten haben sondern nur die mit einem echten verdacht? 87.118.112.141 - - [26/Mar/2026:13:30:58 +0100] "HEAD /de/themes/gx_se_cache/ HTTP/1.0" 404
Daran habe ich auch gedacht, theoretisch hilft das natürlich nicht gegen VPN / Proxy. Aber auf der anderen Seite berichten hier im Forum immer wieder Betroffene, dass Angriffe mit IPs auf Russland oder China etc. kamen. Und wenn Gambio das in ihrer Email schreibt, scheint das ja jetzt wieder der Fall zu sein. Gambio schrieb ja auch "NL", vielleicht war das ein Proxy. Aber so wie ich das sehe, verliere ich nichts, diese Länder auszuschließen und es kann im Zweifel nur helfen.