В Magento исправлены две опасные XSS-уязвимости

image

Теги: Magento, уязвимость, XSS, исправление

Ошибки позволяли выполнить код JavaScript в административной панели.

Компания Magento выпустила пакет исправлений для одноименной платформы, предназначенной для интернет-магазинов и прочих ресурсов электронной коммерции. Обновление устраняет ряд опасных уязвимостей, включая две ошибки, позволяющие осуществить XSS-атаку и впоследствии скомпрометировать сайт.

Первая уязвимость была обнаружена специалистами компании Sucuri. Ошибка позволяет осуществить XSS-атаку путем добавления JavaScript-кода к адресу электронной почты, введенному на странице регистрации пользователя. Уязвимость существует из-за ошибки в сниппете, размещенном в одной из ключевых библиотек Magento, и может быть проэксплуатирована, когда администратор интернет-магазина просматривает размещенные пользователями заказы.

Уязвимость затрагивает все версии Magento CE до 1.9.2.3 и Magento EE до 1.14.2.3.

Вторая ошибка существует из-за недостаточной фильтрации комментариев к заказу. Удаленный пользователь может вставить в поле комментария специально сформированный JavaScript-сценарий. Код будет выполнен в административной панели при попытке просмотра заказа.

Уязвимость затрагивает все версии Magento CE и EE до 2.0.1.

Производитель настоятельно рекомендует как можно скорее обновить платформу Magento до последней версии.


или введите имя

CAPTCHA