Sicherheitsupdate Gambio 03-2026 – Kritisch, schnell handeln
Aktuell steht ein wichtiges Sicherheitsupdate für das Gambio-Shopsystem zur Verfügung. Dieser Patch schließt drei als kritisch eingestufte Sicherheitslücken. Wir raten dringend dazu, das Update umgehend einzuspielen, um Ihren Onlineshop vor unbefugten Zugriffen und Datenmanipulationen zu schützen.
Um potenziellen Angreifern keine detaillierten Anhaltspunkte zu liefern, fassen wir die technischen Hintergründe hier nur allgemein zusammen. Das Update behebt Schwachstellen in den folgenden drei Bereichen:
1. Schwachstelle in der Authentifizierung (StyleEdit)
Im Design-Bereich des Shops (StyleEdit) gab es bisher eine Schwäche bei der Generierung von Sicherheitsschlüsseln für die Nutzerauthentifizierung. Die Erzeugung dieser Schlüssel war zu vorhersehbar und basierte unter anderem auf dem Installationszeitpunkt des Shops. Dadurch bestand die theoretische Gefahr, dass unbefugte Dritte diese Schlüssel erraten, gefälschte Zugriffsberechtigungen erstellen und so in den Backend-Bereich eindringen konnten. Das Update sorgt nun für die Generierung von kryptografisch sicheren, echten Zufallsschlüsseln und ersetzt veraltete Schlüssel automatisch.
2. Gefahr von Datenbank-Manipulationen (Eigenschaften & Varianten)
Eine weitere kritische Lücke betraf die Datenbankabfragen im Bereich der Artikeleigenschaften und -varianten. Bei der Übermittlung von Daten – beispielsweise wenn ein Kunde im Shop eine bestimmte Produktvariante auswählt – wurden bestimmte Werte vom System nicht ausreichend auf ihre Gültigkeit geprüft. Dies ermöglichte das Einschleusen von schädlichen Datenbankbefehlen (sogenannte SQL-Injections). Da diese Abfragen auch von normalen Shopbesuchern ausgelöst werden können, war ein Angriff hier sogar ohne vorherigen Login möglich. Der Patch schließt diese Lücke durch eine strikte Filterung und Bereinigung aller eingehenden Daten.
3. Fehlende Datenprüfung bei der Preisberechnung (Attribute)
Die dritte Lücke befand sich im System zur dynamischen Preisberechnung von Artikelattributen. Auch in diesem Bereich wurden übermittelte Parameter vom System teilweise ungeprüft übernommen. Dies konnte unter anderem dazu führen, dass durch absichtlich fehlerhafte oder unlogische Eingaben (wie etwa eine Division durch Null) Fehler provoziert wurden, die das System zum Absturz bringen konnten. Durch das Update werden nun alle betroffenen Eingabedaten sofort bei der Übergabe konsequent validiert.
Warum das Update keine Zeit hat
Da automatisierte Skripte das Internet permanent nach Shops mit genau solchen bekannten Schwachstellen durchsuchen, ist hier schnelles Handeln gefragt. Jeder Tag, den ein Shop ungepatcht bleibt, stellt ein vermeidbares Sicherheitsrisiko für Ihre Daten und die Ihrer Kunden dar.
Update I vom 29.03.2026 – Skript zum testen
Es gibt eine Mail von Gambio, wie man seinen Shop prüfen kann. Die Sicherheitslücke wurde direkt nach Bekanntwerden geschlossen, es sind aber nachweislich darüber Systeme kopromitiert wurden. Da für den Check vor allem ein Durchsuchen der Server-Logfiles (nicht nur der Gambio Logfiles!) notwendig ist, haben wir ein Skript geschrieben, welches wir kostenlos zum Download anbieten.
Skript zum Download Hier klicken: or-0326-test.zip Version 4 (31.03.2026 | 13:45 Uhr)
Hinweis: Version 4 gibt auch Logeinträge für SQL-Injection Angriffe aus alten Logs aus. Da gab es offenbar einige. Wenn die Logeinträge von vor März 2026 sind, haben sie mit diesem Angriff nichts zu tun!
Dieses Skript einfach in den Shop laden und dann ausführen:
deine-domain.de/or-0326-test.php?key=or2603sec
Wichtig: Sollte das Skript nur die Gambio Logs finden, muss man die Serverlogs manuell hinzufügen. Ansonsten durchsucht das Tool nicht die richtigen Logs. Das ist bei jedem Hoster anders.
Bsp.: All-Inkl: /drbd/www/htdocs/[Nutzernummer]/logs
Nach dem Testen das Skript unbedingt direkt wieder löschen.
Getestet ist das Skript auf Hetzner Servern. Dort liegen die Server-Logfiles im Hauptverzeichnis über public_html. Bei anderen Hostern kann das anders sein. Im Skript gibt es die Möglichkeit, ein eigenes Verzeichnis anzugeben, wo die Logs liegen.
Neben den Server Logfiles durchsucht das Skript auch die Gambio Logs. Sobald verdächtige Einträge enthalten sind, wird das angezeigt.
Sollte einer oder mehrerer der Indikatoren anschlagen, dann am besten an den Gambio Support wenden. Alternativ an uns oder einen der geschätzten Kollegen, die den Shop bereinigen können:
- Packmaster
- Lenk GmbH
- Kai Schölzke – Agentur Schölzke
- Xycons
Dieses Script wird kostenlos und ohne jegliche Garantie zur freien Verfügung gestellt. Eine Pflicht zur Registrierung, Nennung oder Gegenleistung besteht nicht.
Der Quellcode darf frei genutzt, verändert und weitergegeben werden. Urheberrechtsansprüche werden ausdrücklich nicht geltend gemacht.
Der Einsatz erfolgt ausschließlich auf eigenes Risiko. Für Schäden jeglicher Art — insbesondere Datenverlust, Betriebsunterbrechungen oder Sicherheitsvorfälle — die im Zusammenhang mit der Nutzung dieses Scripts entstehen, wird keine Haftung übernommen. Dies gilt unabhängig davon, ob die Schäden auf fehlerhafte Funktion, unsachgemäße Anwendung oder andere Ursachen zurückzuführen sind.
Das Script dient ausschließlich zur Prüfung eigener Systeme oder solcher, für die eine ausdrückliche Genehmigung des Betreibers vorliegt. Der Einsatz auf fremden Systemen ohne Genehmigung ist unzulässig und kann strafbar sein (§ 202a StGB).
Orange Raven · März 2026
Update II vom 29.03.2026
Nachdem wir uns einige kompromittierte Shops angeschaut haben, lässt sich zusammenfassen:
- Im /theme Ordner findet man neben den Standard Theme Ordnern (Malibu_preview, Malibu, Honeygrid usw.) auch Kopien der meisten Shopordner (admin, includes usw.)
- Im upload/tmp Ordner findet man Ordner, die z.T. eine cache.php enthalten. In dem Ordner sollte eigentlich gar nix außer einer index.html sein, weils ein temporärer Ordner ist, wo Dinge zwischen gespeichert werden. So lange diese Dateien dort sind, ist der Shop offen für Angriffe
- Es gibt Hinweise, dass in betroffenen Shops die Datenbank ausgelesen wurde, d.h. Kundendaten, Daten über Bestellungen sowie Nutzernamen und Passwörter sind entwendet
Update III vom 31.03.2026
Wir haben das Skript nach Zuarbeiten von Partnern um einige Faktoren erweitert. Bei betroffenen Shops kann nun auch teilweise festgestellt werden, ob Daten abgeflossen sind.
Sobald der neue Indikator 7 (EXTRACTVALUE) Daten enthält, sind wahrscheinlich Kundendaten aus der Datenbank abgeflossen.
Entspannt und sicher patchen: Der OR Backupmanager
Wir wissen, dass viele Shopbetreiber großen Respekt davor haben, Updates im laufenden Betrieb einzuspielen. Die Sorge, dass nach dem Patch der Shop streikt oder Module nicht mehr funktionieren, ist nachvollziehbar – und fehlerhafte manuelle Updates kosten Zeit, Nerven und im schlimmsten Fall Umsatz.
Damit Sie kritische Patches schnell, autark und vor allem sicher selbst einspielen können, haben wir den OR Backupmanager mit integriertem Gambio Updater entwickelt.
Das Tool richtet sich an Shopbetreiber, die Updates ohne kompliziertes Hantieren mit FTP, phpMyAdmin oder fehleranfälligen SSH-Konsolen durchführen möchten:
-
Schnelle Sicherung: Erstellen Sie vor dem Update mit einem Klick ein komplettes Backup (Dateien und Datenbank) in wenigen Minuten.
-
Integrierter Updater: Laden Sie das Gambio-Update-Paket direkt über das Tool hoch und führen Sie es aus.
-
Einfache Wiederherstellung: Geht etwas schief, lässt sich das Backup mit einem Klick wiederherstellen – der Shop läuft danach exakt so wie vorher.
Weitere Details zum Tool und die Möglichkeit zur Bestellung finden Sie hier: OR Backupmanager für Gambio & WordPress ansehen
Rico ist Gründer und Inhaber von Orange Raven. Er ist seit über 15 Jahren als IT- und Marketing Experte (Studium Uni) speziell für Gambio und WordPress unterwegs.
Google Reviews
Es ist ausgesprochen angenehm mit jemanden zusammenzuarbeiten, der nicht nur eigene Ideen hat, sich in das Stoffgebiet des Shops hineindenken kann und dann auch noch gute Ideen bringt und sagt wie es geht. Ich bin sehr angenehm überrascht! Es geht schließlich um mein Baby(!), mein Shop, mein Broterwerb ;) Toll!
Andreas Engel22. Januar 2019
