在Magento电子商务平台中修补的临界缺陷
如果您在基于Magento电子商务平台的基于Magento电子商务平台运行在线商店,那么尽快更新它的好主意。最新的补丁修复了可能允许攻击者劫持管理帐户的关键漏洞。
来自Web安全公司Sucuri的研究人员发现了一个问题,并且源于客户登记表格中的电子邮件地址的不当验证。
漏洞允许恶意用户在电子邮件字段中包含JavaScript代码,导致所谓的存储跨站点脚本(XSS)攻击。JavaScript代码与表单一起保存,并在网站后端面板中列出用户帐户时触发。
该问题被评为至关重要,因为流氓代码可以劫持管理员的经过身份验证的会话,或者可以指示他的浏览器在网站上执行Rogue动作,例如添加另一个攻击者提供的凭据的管理员帐户。
在版本1.14.2.3之前,该漏洞影响了1.9.2.3版和Magento Enterprise Edition之前的Magento Community Edition。Magento还发布了一个叫做Supee-7405的补丁包,可以应用于旧版本。
该捆绑包还包括用于19个其他缺陷的修复程序,包括在订单评论表单中的类似存储的XSS问题,并且在处理HTTP_X_FORWARD_FOR标题中为客户的IP地址的处理。修复的其他问题包括信息泄漏,CAPTCHA旁路,跨站点请求伪造问题,恶意文件上传和拒绝服务对时事通讯功能。
其中一些缺陷也会影响Magento 2.x CE和EE。版本2.0.1已释放两个版本,以便解决它们,以及一些关键存储的XSS缺陷,只存在于2.x版本中。
“如果您正在使用Magento的易受攻击的版本,请尽快更新/补丁,”Sucuri研究员Marc-Alexandre Montpas表示,在星期五的博客帖子中发现了一个存储的XSS漏洞。
据开发电子商务平台的公司称,Magento由超过20万家公司使用,包括许多热门品牌所有者。2015年通过交通的前100万个网站的调查发现,Magento由大约30%的在线商店使用,使其成为最受欢迎的电子商务平台。
基于洋光技术的网站之前是大规模攻击的目标,因此它们代表了攻击者的有吸引力的目标。10月份,运行该平台的数千家在线商店被中微子开采套件感染了。