漏洞信息详情
Magento Community Edition和Enterprise Edition 多个安全漏洞
- CNNVD编号:CNNVD-201602-119 <!--
- 危害等级: -->
- 危害等级:
- CVE编号:
- 漏洞类型: 其他
- 发布时间: 2016-01-20
- 威胁类型: 远程
- 更新时间: 2016-02-04
- 厂 商:
- 漏洞来源: Peter O'Callaghan,...
-
漏洞简介
Magento是美国Magento公司的一套开源的PHP电子商务系统,它提供权限管理、搜索引擎和支付网关等功能。Magento Community Edition(CE)是一个社区版。Magento Enterprise Edition(EE)是一个企业版。
Magento CE和EE中存在以下安全漏洞:1、HTML注入漏洞 2、暴力破解漏洞 3、跨站脚本漏洞 4、安全绕过漏洞 5、拒绝服务漏洞 6、CAPTCHA绕过漏洞 7、跨站请求伪造漏洞。攻击者可利用这些漏洞窃取基于cookie的身份验证,在Web服务器进程上下文中执行任意脚本,绕过安全限制,执行未授权操作,也可能造成拒绝服务。以下版本受到影响:Magento CE 1.9.2.3之前版本,EE 1.14.2.3之前版本,EE 2.0.1之前版本,CE 2.0.1之前版本。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:
http://magento.com/
参考网址
来源: BID
名称: 81997
链接:http://www.securityfocus.com/bid/81997
受影响实体
暂无
补丁
暂无
还没有评论,来说两句吧...