在Magento电子商务平台中修补的临界缺陷

如果您在基于Magento电子商务平台的基于Magento电子商务平台运行在线商店，那么尽快更新它的好主意。最新的补丁修复了可能允许攻击者劫持管理帐户的关键漏洞。

来自Web安全公司Sucuri的研究人员发现了一个问题，并且源于客户登记表格中的电子邮件地址的不当验证。

漏洞允许恶意用户在电子邮件字段中包含JavaScript代码，导致所谓的存储跨站点脚本（XSS）攻击。JavaScript代码与表单一起保存，并在网站后端面板中列出用户帐户时触发。

该问题被评为至关重要，因为流氓代码可以劫持管理员的经过身份验证的会话，或者可以指示他的浏览器在网站上执行Rogue动作，例如添加另一个攻击者提供的凭据的管理员帐户。

在版本1.14.2.3之前，该漏洞影响了1.9.2.3版和Magento Enterprise Edition之前的Magento Community Edition。Magento还发布了一个叫做Supee-7405的补丁包，可以应用于旧版本。

该捆绑包还包括用于19个其他缺陷的修复程序，包括在订单评论表单中的类似存储的XSS问题，并且在处理HTTP_X_FORWARD_FOR标题中为客户的IP地址的处理。修复的其他问题包括信息泄漏，CAPTCHA旁路，跨站点请求伪造问题，恶意文件上传和拒绝服务对时事通讯功能。

其中一些缺陷也会影响Magento 2.x CE和EE。版本2.0.1已释放两个版本，以便解决它们，以及一些关键存储的XSS缺陷，只存在于2.x版本中。

“如果您正在使用Magento的易受攻击的版本，请尽快更新/补丁，”Sucuri研究员Marc-Alexandre Montpas表示，在星期五的博客帖子中发现了一个存储的XSS漏洞。

据开发电子商务平台的公司称，Magento由超过20万家公司使用，包括许多热门品牌所有者。2015年通过交通的前100万个网站的调查发现，Magento由大约30％的在线商店使用，使其成为最受欢迎的电子商务平台。

基于洋光技术的网站之前是大规模攻击的目标，因此它们代表了攻击者的有吸引力的目标。10月份，运行该平台的数千家在线商店被中微子开采套件感染了。