发布于 2016-05-22 00:33:02 | 537 次阅读 | 评论: 0 | 来源: 网友投递
Magento开源电子商务系统
Magento (麦进斗) 是一套专业开源的电子商务系统。Magento设计得非常灵活,具有模块化架构体系和丰富的功能。易于与第三方应用系统无缝集成。其面向企业级应用,可处理各方面的需求,以及建设一个多种用途和适用面的电子商务网站。
以色列安全研究人员Netanel Rubin于2016年5月17日报告了关于Magento电子商务平台的高危漏洞。攻击者可以利于XMLRPC或REST接口中对于参数序列化与反序列化的逻辑错误,任意替换对象中与数据库操作、文件操作等敏感内容相关类,以达到完全控制网詀的漏洞。该漏洞代号CVE-2016-4010,威胁度评分可达9.8/10。对于该漏洞,Magento官方于2016年5月18日立刻发布了2.0.6版本以修复该漏洞。
漏洞报告原文地址:http://netanelrub.in/2016/05/17/magento-unauthenticated-remote-code-execution/
中文翻译:http://www.raccoon-tech.com/magento2-0day漏洞-cve-2016-4010