çµ±ä¸è¶ å-天涼äºéæ±ç ®ç¯
如果您运行的是基于Magento电子商务平台的网上商店,最好尽快更新它。最新的补丁修复了可能允许攻击者劫持管理帐户的关键漏洞。
Web安全公司Sucuri的研究人员发现了一个问题,并且源于客户注册表单中对电子邮件地址的不正确验证
该漏洞允许恶意用户在电子邮件字段中包含JavaScript代码,导致所谓的存储的跨站点脚本(XSS)攻击。 JavaScript代码与表格一起保存,并在用户帐户列在网站的后端面板中时触发。
[更多阅读:如何从Windows PC删除恶意软件]问题的等级为因为流氓代码可以劫持管理员的身份验证会话,或者可以指示他的浏览器在网站上执行流氓操作,例如在攻击者提供的凭据中添加另一个管理员帐户。
此漏洞影响版本1.9之前的Magento Community Edition .2.3和版本1.14.2.3之前的Magento企业版。 Magento上周还发布了一个名为SUPEE-7405的修补程序包,该程序包可应用于旧版本。
该修补程序还包含19个其他缺陷的修复程序,其中包括在订单注释表单中存储的类似XSS存储问题,以及处理客户IP地址的HTTP_X_FORWARDED_FOR标头。修复的其他问题包括信息泄漏,CAPTCHA绕过,跨站点请求伪造问题,恶意文件上传以及针对通讯功能的拒绝服务。
其中一些漏洞也影响Magento 2.x CE和EE。为了解决这两个版本的版本2.0.1,以及只存在于2.x版本中的一些关键存储的XSS缺陷
“如果您使用的是Magento的易受攻击版本,则更新/修补程序“发现存储的XSS漏洞之一的Sucuri研究员Marc-Alexandre Montpas在周五的博客文章中称,”根据开发电子商务平台的公司,据报道,Magento被用于包括许多流行品牌所有者在内的20万家公司。 2015年对前100万个流量网站的调查发现,Magento在其网上商店中的使用率约为30%,使其成为最受欢迎的电子商务平台。
基于Magento的网站一直是大规模之前的攻击,所以它们代表攻击者的一个有吸引力的目标。 10月份,数千个运行该平台的在线商店被Neutrino漏洞利用工具包感染。
