Magento Exploit

logo_magentoNasz przyjaciel Dawid Gołuński wypuścił advisory dotyczące popularnego skryptu do tworzenia sklepów Internetowych – Magento wraz z przykładowym exploitem bazującym na injekcji dodatkowych komend w zapytaniu SOAP (XML eXternal Entity, w skrócie XXE).

Luki dotyczą wersji:

eBay Magento CE <= 1.9.2.1       XML eXternal Entity Injection (XXE) on PHP FPM
eBay Magento EE <= 1.14.2.1

Advisory dostępne pod adresem http://legalhackers.com/advisories/eBay-Magento-XXE-Injection-Vulnerability.txt

Jak informuje Softpedia, w podobnym czasie została wykryta także luka pozwalająca na zdalne wykonanie kodu.