close
企業趨勢資訊保安電子商務

XSS 漏洞可讓黑客控制 Magento 後台 數以百萬計電子商貿網站受影響

不少電子商貿網站使用 Magento 來架構,但這個管理系統日前被發現有 XSS 漏洞,容易被黑客入侵控制後台。Magento 已釋出更新,用家應馬上安裝避免網站受到攻擊。

magento

 

網絡安全公司 Sucuri 日前在 Magento 發現了一個跨網站指令碼(XSS)漏洞,黑客在填寫電郵時可植入 JavaScript,從而控制 Magento 的後台。例如填入「“><script>alert(1);</script>”@sucuri.net」 的話,管理員進入後台便會彈出對話方塊。如果被植入惡意的 JavaScript 的話更可以控制網站,如新增系統管理員或者偷取客戶資料等。

sucuri-magento-xss

 

受影響的版本為 1.9.2.3 版之前的 Community Edition 之前和 1.14.2.3 版之前的 Enterprise Edition,Sucuri 向 Magento 通報後已釋出更新,最新版本已修補了這個漏洞。

事實上 XSS 是典型的網站漏洞,不少大型網站如 Paypal 曾經出現過;其他內容管理系統如 WordPress 早前也有過 XSS 漏洞。

Source : Arcs Technica

 

Tags : magentoxss
Dennis Ma

The author Dennis Ma

為香港讀者分享各種 IT 新聞及趨勢,如企業動態、保安消息(勒索軟件、程式漏洞等)、未來科技(AR、VR、3D打印等。)、電子商貿;亦專門分享 SEO、網頁設計、社交平台推廣等心得。