Quelle: Critical Security Advisory: Remote Code Execution (RCE) Vulnerability | Magento
Der Wichtigkeit halber will ich an dieser Stelle auch nochmal auf das Beheben der Sicherheitslücke (Patch SUPEE-5344) hinweisen.
Die meisten von uns sollten den Patch bereits im Februar eingespielt haben. Remote Execution Lücken müssen immer direkt gepatched werden da damit quasi alles denkbar böse möglich ist.
Wer seinen oder die betreuten Shops noch nicht gepatched hat sollte dies sofort tun und am besten sofort das System auf mögliche Kompromitierungen untersuchen da der Shop so quasi mehrere Monate ungeschützt im Netz verfügbar war.
Magento hat eine Sonderseite eingerichtet auf der der eigene Shop getestet werden kann.
http://magento.com/security-patch
Mehr technische Infos über die Lücke kann man bei den Entdeckern von Checkpoint nachlesen.
http://blog.checkpoint.com/2015/04/20/analyzing-magento-vulnerability/