在Magento电子商务平台中修补的临界缺陷
Hyperoptic在布莱顿推出FTTP服务
Bi如何改善东盟的医疗保健
大型全球公司仍然使用电话,传真和电子邮件管理供应链
预算2016年:奥斯本致力于5G规划的时间尺度
国会联邦机构:您有两周的时间才能让您的后卫瞻博网络套件
Teradata宇宙2016:MPP架构重新recast作为'Intelliflex'
Hillingdon医院为临床医生提供护理记录
谷歌使得更容易管理填充文件的驱动器
英国的每日邮件出版商眼睛雅虎的资产
BRITS感到缺乏数字技能持有公司回来
在您的预测中雪?这是GIS如何帮助缓解疼痛
操作分析如何帮助公用事业公司
争取学生的隐私,手机用户向各国移动
最糟糕的是,过去5年来最常见的密码
在Windows PC上搜索交易?他们将更加努力寻找
HDS G系列阵列将本机NAS和云作为存储层获取
思科修复了数字编码器,统一计算管理器和安全设备中的临界缺陷
斯蒂芬的Foreshew-Cain说,Whitehall的一部分将于2030年将不再存在于2030年
Verizon和Samsung伴侣在技术到牛肉室内无线覆盖
布莱顿和霍夫得到免费的市中心无线网络服务
案例分析:Athona招募Mimecast停止首席执行官欺诈攻击
Microsoft修复了KB 3114409的Outlook 2010,带有KB 3114570
国家分娩信任违约表明所有数据都需要保障
英特尔为企业提供帮助私人云的企业为他们工作
英特尔扩展Xeon处理器家族,帮助企业构建软件定义的云
海湾航空创建私有云以支持开源大数据引擎
用于新欧盟数据保护规则的Dropbox Gears
联邦调查局关于汽车黑客的警告
英国隐私首席执行官说,业务需要认真地服用GDPR
DigitalHealth.London推出加速程序,以改善健康技术
发布文件显示在“重置”之前的普遍信用问题的规模
OpenStack Founduce要求在开源计划中进行更大的企业输入
Metcalfe的联系法则将推动数字业务价值
新的Chelmsford住房庄园内置了FTTP
Talktalk认为利润减半,因为安全违规行为收费
农村支付机构计划发行二手技术招标
CIO采访:夏洛塔尼西奥斯姆,凯梅拉
荷兰创造力和实用主义吸引IT公司到阿姆斯特丹
澳大利亚承诺230万美元以防止“无缝”网络域
沃达丰和华为开放窄带IOT实验室
提名开放:2016年英国最具影响力的女性
是时候再次削减成本,预测Gartner
全国在身份验证实验中观看客户行为
Suiteworld 2016:Snapchat首席战略官员说,媒体正在从传统到移动移动
欧洲委员会随时准备在转型数字化计划上飞溅50亿欧元
CIO采访:vesa pirinen,yit集团
北约机构与卢森堡Mod签署五年的数据中心建设协议
史密斯&威廉姆森开始遗留续约与红色红色
英国信息专员对隐私盾牌的重量
您的位置:首页 >论坛 > 电子业界 >

在Magento电子商务平台中修补的临界缺陷

2021-06-12 08:44:20 [来源]:

如果您在基于Magento电子商务平台的基于Magento电子商务平台运行在线商店,那么尽快更新它的好主意。最新的补丁修复了可能允许攻击者劫持管理帐户的关键漏洞。

来自Web安全公司Sucuri的研究人员发现了一个问题,并且源于客户登记表格中的电子邮件地址的不当验证。

漏洞允许恶意用户在电子邮件字段中包含JavaScript代码,导致所谓的存储跨站点脚本(XSS)攻击。JavaScript代码与表单一起保存,并在网站后端面板中列出用户帐户时触发。

该问题被评为至关重要,因为流氓代码可以劫持管理员的经过身份验证的会话,或者可以指示他的浏览器在网站上执行Rogue动作,例如添加另一个攻击者提供的凭据的管理员帐户。

在版本1.14.2.3之前,该漏洞影响了1.9.2.3版和Magento Enterprise Edition之前的Magento Community Edition。Magento还发布了一个叫做Supee-7405的补丁包,可以应用于旧版本。

该捆绑包还包括用于19个其他缺陷的修复程序,包括在订单评论表单中的类似存储的XSS问题,并且在处理HTTP_X_FORWARD_FOR标题中为客户的IP地址的处理。修复的其他问题包括信息泄漏,CAPTCHA旁路,跨站点请求伪造问题,恶意文件上传和拒绝服务对时事通讯功能。

其中一些缺陷也会影响Magento 2.x CE和EE。版本2.0.1已释放两个版本,以便解决它们,以及一些关键存储的XSS缺陷,只存在于2.x版本中。

“如果您正在使用Magento的易受攻击的版本,请尽快更新/补丁,”Sucuri研究员Marc-Alexandre Montpas表示,在星期五的博客帖子中发现了一个存储的XSS漏洞。

据开发电子商务平台的公司称,Magento由超过20万家公司使用,包括许多热门品牌所有者。2015年通过交通的前100万个网站的调查发现,Magento由大约30%的在线商店使用,使其成为最受欢迎的电子商务平台。

基于洋光技术的网站之前是大规模攻击的目标,因此它们代表了攻击者的有吸引力的目标。10月份,运行该平台的数千家在线商店被中微子开采套件感染了。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。