Vigil@nce - Magento : Cross Site Scripting de description
septembre 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer un Cross Site Scripting persistent
dans un paramètre description de Magento, afin d’exécuter du
code JavaScript dans le contexte du site web.
– Produits concernés : Magento Community Edition, Magento
Enterprise Edition.
– Gravité : 2/4.
– Date création : 01/07/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Magento dispose d’un service web.
Cependant, les données reçues via le champ description d’un lien
ne sont pas filtrées avant d’être enregistrées puis insérées
dans les documents HTML générés.
Un attaquant peut donc provoquer un Cross Site Scripting
persistent dans un paramètre description de Magento, afin
d’exécuter du code JavaScript dans le contexte du site web.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Magento-Cross-Site-Scripting-de-description-17289