ネットワークセキュリティー
 Computer >> コンピューター >  >> ネットワーキング >> ネットワークセキュリティー

Affiliate Plus Magento 拡張機能のアップグレード – XSS の脆弱性が見つかりました

数週間前、Magento ショップを使用している顧客のセキュリティ スキャンを実行していました。彼らのウェブサイトを監査しているときに、私たちのチームは Affiliate Plus モジュールに重大な脆弱性を発見しました。 Affiliate Plus のウェブサイトによると、7000 以上の店舗が拡張機能を使用しています。この Affiliate Plus Magento モジュール XSS 脆弱性により、多数の Magento ストアが脆弱なままになります。

アフィリエイト プラス Magento モジュール XSS について

  • ストア Magento にアフィリエイトとしてログインしたら、[マイ プログラム セクション] に移動します
  • [プログラム名] 列に次の JS コードを追加します:
<script>alert(/XSS_Vulnerability/)</script>
  • 「検索」ボタンをクリックします Affiliate Plus Magento 拡張機能のアップグレード – XSS の脆弱性が見つかりました
  • JavaScript コードの実行を提案するポップアップが表示される Affiliate Plus Magento 拡張機能のアップグレード – XSS の脆弱性が見つかりました
  • さらに、SQL エラーとデータベース構造を公開するアプリケーションによって、SQL クエリも発行されます。 Affiliate Plus Magento 拡張機能のアップグレード – XSS の脆弱性が見つかりました

結果

XSS は、最も広く発見され、悪用されている脆弱性の 1 つであり、いくつかの重大な結果をもたらします。反映された XSS の場合、その結果は特定の顧客に向けられることがよくあります。ただし、管理データなどを盗むことを目的とした攻撃が実行される可能性があります。以下が含まれます:

  • エンドユーザーのデータ/アカウント情報の侵害
  • 標的型攻撃による管理者情報の窃盗
  • ウェブアプリの内部ディレクトリ構造への露出

タイムライン

Affiliate Plus チームは問題を非常に迅速に理解し、迅速に修正に取り組みました。彼らは、必要な修正を展開し、パッチを適用したモジュールの更新バージョンをリリースすることに積極的に取り組みました。チームに称賛を!


  1. Nagios Log Server =2.1.6 で見つかった保存された XSS の脆弱性 - すぐに更新

    一般的なログ監視および管理アプリケーションである Nagios Log Server バージョン 2.1.6 (テスト時点で最新) をテストしたところ、Stored XSS 攻撃に対して脆弱であることがわかりました。 CVE ID: CVE-2020-16157 まとめ Nagios Log Server は、組織がログを表示、並べ替え、および構成できるようにする、一般的な集中ログ管理、監視、および分析ソフトウェアです。アプリケーションのバージョン 2.1.6 は、保存された XSS に対して脆弱であることが判明しました。 ストアド クロス サイト スクリプティング攻撃では、ターゲッ

  2. SeedProd =5.1.0 による建設中およびメンテナンス モードの近日公開ページで XSS 脆弱性が見つかりました - すぐに更新します

    WordPress バージョン 5.1.0 以下の SeedProd プラグインによる建設中およびメンテナンス モード中のページは、プラグインを監査しているときに、保存された XSS に対して脆弱であることがわかりました。データのサニタイズが改善されたプラグイン バージョン 5.1.2 が 2020 年 6 月 24 日にリリースされました。 CVE ID: CVE-2020-15038 まとめ SeedProd による準備中およびメンテナンス モードのページは、100 万以上のアクティブ インストールを持つ人気のある WordPress プラグインです。ストアド クロスサイト スクリプ