Уязвимости в платформе электронной коммерции Magento

26 января 2016 года

<dynamicpagelist>

category = Опубликовано category = Компьютерные технологии notcategory = Не публиковать notcategory = Ожидаемые события по датам notcategory = Архивные новости notcategory=Викиновости коротко count = 18 stablepages = only suppresserrors = true namespace = Main addfirstcategorydate = true ordermethod = created </dynamicpagelist>

Wikinews-logo-ru.svg

В открытой платформе для организации электронной коммерции Magento, которая занимает около 30% рынка платформ для создания интернет-магазинов (на базе Magento работает более 250 тысяч сайтов), выявлено 20 уязвимостей. Проблемы уже устранены в выпусках Magento 1.9.2.3, 1.14.2.3 и 2.0.1.

Две XSS-проблемы помечены как критические. Первая проблема позволяет при просмотре администратором параметров заказа отобразить произвольный JavaScript-код, добавленный через форму регистрации путём задания специально оформленного значения в поле с email (например, можно указать "<scriptalert(1);</script"@mail.ru). Выполнив код в контексте интерфейса администратора атакующий может перехватить cookie с идентификатором сеанса и получить полный доступ к системе. Вторая проблема даёт возможность подставить JavaScript-код в примечание к заказу при использовании модуля PayFlow Pro, впоследствии данный код будет выполнен при просмотре администратором списка заказов.

 

ИсточникиПравить


Эта статья содержит материалы из статьи «Уязвимости в платформе электронной коммерции Magento», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Уязвимости в платформе электронной коммерции Magento