Компания Magento выпустила пакет исправлений для одноименной платформы, предназначенной для интернет-магазинов и прочих ресурсов электронной коммерции. Обновление устраняет ряд опасных уязвимостей, включая две ошибки, позволяющие осуществить XSS-атаку и впоследствии скомпрометировать сайт.
Первая уязвимость была обнаружена специалистами компании Sucuri. Ошибка позволяет осуществить XSS-атаку путем добавления JavaScript-кода к адресу электронной почты, введенному на странице регистрации пользователя. Уязвимость существует из-за ошибки в сниппете, размещенном в одной из ключевых библиотек Magento, и может быть проэксплуатирована, когда администратор интернет-магазина просматривает размещенные пользователями заказы. Уязвимость затрагивает все версии Magento CE до 1.9.2.3 и Magento EE до 1.14.2.3.
Вторая ошибка существует из-за недостаточной фильтрации комментариев к заказу. Удаленный пользователь может вставить в поле комментария специально сформированный JavaScript-сценарий. Код будет выполнен в административной панели при попытке просмотра заказа. Уязвимость затрагивает все версии Magento CE и EE до 2.0.1. Производитель настоятельно рекомендует как можно скорее обновить платформу Magento до последней версии. (Magento/NovostIT)
