Nachdem am Wochenende bereits ein Hinweis an einen ecommerce-Softwareanbieter ging, war nach weiteren Tests klar, daß auch andere Abkömmlinge der Software die gleichen Probleme haben.
Nach entsprechenden Hinweisen hat sich der Entwickler von PDFBill, der noch dazu Moderator in einem größeren Forum ist, zu folgender Aussage hinreissen lassen:
Bitte hör auf wegen einer doch relativ marginalen Lücke (ich tippe hier auf XSS oder Remote Site Forgery) so ein großes Geschrei zu machen.
Fassen wir mal zusammen:
XSS ist definitiv als schwerwiegend einzustufen.
Remote Site Forgery ist zwar anscheinend kein geläufiger Begriff, aber CSRF schon.
Auch hier würde der geneigte Leser auf schwerwiegend tippen.
Von daher wäre vielleicht vorerst ohne Code-Review von der Benutzung des Modules PDFBill abzuraten…?.