The Dutch HackInfo

Information about Hacking, Security & Tweaking

1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

magento logoOnderzoekers van Sucuri hebben een ernstige Cross Site Scripting kwetsbaarheid gevonden in Magento. Onder de juiste omstandigheden kan de kwetsbaarheid gebruikt worden om het administrator account over te nemen.

De kwetsbaarheid is aanwezig in Magento CE versies voor 1.9.2.3 en Magento EE versies voor 1.14.2.3. Magento heeft een CVSS score van 9.3 (Critical) toegekend aan de kwetsbaarheid.

Hoewel Cross Site Scripting kwetsbaarheden al geruime tijd bekend zijn en zowel op de OWASP als de Certified Secure checklists zijn opgenomen komen ze helaas nog veelvuldig voor.

Een Cross Site Scripting kwetsbaarheid ontstaat wanneer ontwikkelaars gebruikersinvoer niet juist encoderen voordat het wordt opgenomen in bijvoorbeeld HTML of Javascript uitvoer. In het geval van de Magento kwetsbaarheid werd het e-mailadres van gebruikers niet geëncodeerd voordat het werd weergeven in het admin paneel.

Patch Op de site van Magento is een patch voor de kwetsbaarheid beschikbaar. Het advies is dan ook om de patch zo snel mogelijk te installeren.

Bron: Security.nl

You have no rights to post comments


Copyright © 2019. All Rights Reserved.