forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимости в платформе электронной коммерции Magento "
Отправлено opennews, 26-Янв-16 11:51

В открытой платформе для организации электронной коммерции Magento (https://github.com/magento), которая занимает около 30% рынка платформ для создания интернет-магазинов (на базе Magento работает более 250 тысяч сайтов), выявлено (https://blog.sucuri.net/2016/01/security-advisory-stored-xss...) 20 уязвимостей (https://magento.com/security/patches/supee-7405). Проблемы уже устранены (https://magento.com/security/patches/magento-201-security-up...) в выпусках Magento 1.9.2.3, 1.14.2.3 и 2.0.1.

Две XSS-проблемы помечены как критические. Первая проблема позволяет (https://blog.sucuri.net/2016/01/security-advisory-stored-xss...) при просмотре администратором параметров заказа отобразить произвольный JavaScript-код, добавленный через форму регистрации путём задания специально оформленного значения в поле с email (например, можно указать "><script>alert(1);</script>"@mail.ru). Выполнив код в контексте интерфейса администратора атакующий может перехватить cookie с идентификатором сеанса и получить полный доступ к системе. Вторая проблема даёт возможность подставить JavaScript-код в примечание к заказу при использовании модуля PayFlow Pro, впоследствии данный код будет выполнен при просмотре администратором списка заказов.
<center><a href="https://blog.sucuri.net/wp-content/uploads/2016/01/Magento-S... src="https://www.opennet.ru/opennews/pics_base/0_1453792900.png&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>

URL: https://blog.sucuri.net/2016/01/security-advisory-stored-xss...
Новость: https://www.opennet.ru/opennews/art.shtml?num=43759

Исходное сообщение
"Уязвимости в платформе электронной коммерции Magento " Отправлено opennews, 26-Янв-16 11:51
В открытой платформе для организации электронной коммерции Magento (https://github.com/magento), которая занимает около 30% рынка платформ для создания интернет-магазинов (на базе Magento работает более 250 тысяч сайтов), выявлено (https://blog.sucuri.net/2016/01/security-advisory-stored-xss...) 20 уязвимостей (https://magento.com/security/patches/supee-7405). Проблемы уже устранены (https://magento.com/security/patches/magento-201-security-up...) в выпусках Magento 1.9.2.3, 1.14.2.3 и 2.0.1. Две XSS-проблемы помечены как критические. Первая проблема позволяет (https://blog.sucuri.net/2016/01/security-advisory-stored-xss...) при просмотре администратором параметров заказа отобразить произвольный JavaScript-код, добавленный через форму регистрации путём задания специально оформленного значения в поле с email (например, можно указать "><script>alert(1);</script>"@mail.ru). Выполнив код в контексте интерфейса администратора атакующий может перехватить cookie с идентификатором сеанса и получить полный доступ к системе. Вторая проблема даёт возможность подставить JavaScript-код в примечание к заказу при использовании модуля PayFlow Pro, впоследствии данный код будет выполнен при просмотре администратором списка заказов. <center><a href="https://blog.sucuri.net/wp-content/uploads/2016/01/Magento-S... src="https://www.opennet.ru/opennews/pics_base/0_1453792900.png&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center> URL: https://blog.sucuri.net/2016/01/security-advisory-stored-xss... Новость: https://www.opennet.ru/opennews/art.shtml?num=43759

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В открытой платформе для организации электронной коммерции Magento (https://github.com/magento), 
> которая занимает около 30% рынка платформ для создания интернет-магазинов (на базе 
> Magento работает более 250 тысяч сайтов), выявлено (https://blog.sucuri.net/2016/01/security-advisory-stored-xss-in-magento.html) 
> 20 уязвимостей (https://magento.com/security/patches/supee-7405). Проблемы уже устранены 
> (https://magento.com/security/patches/magento-201-security-update) в выпусках Magento 
>  1.9.2.3, 1.14.2.3 и 2.0.1.

> Две XSS-проблемы помечены как критические. Первая проблема позволяет (https://blog.sucuri.net/2016/01/security-advisory-stored-xss-in-magento.html) 
> при просмотре администратором параметров заказа отобразить произвольный JavaScript-код, 
> добавленный через форму регистрации путём задания специально оформленного значения в поле 
> с email (например, можно указать  "><script>alert(1);</script>"@mail.ru). Выполнив код 
> в контексте интерфейса администратора атакующий может перехватить cookie с идентификатором 
> сеанса и получить полный доступ к системе. Вторая проблема даёт возможность 
> подставить JavaScript-код в примечание к заказу при использовании модуля PayFlow Pro, 
> впоследствии данный код будет выполнен при просмотре администратором списка заказов.

> <center><a href="https://blog.sucuri.net/wp-content/uploads/2016/01/Magento-StoredXSS-3.png"><img 
> src="https://www.opennet.ru/opennews/pics_base/0_1453792900.png" style="border-style: 
> solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>

> URL: https://blog.sucuri.net/2016/01/security-advisory-stored-xss-in-magento.html 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=43759

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру