เมื่อสัปดาห์ที่ผ่านมา นักวิจัยด้านความปลอดภัยจาก Sucuri Security เปิดเผยว่าพบช่องโหว่ Stored XSS บน Magento ที่เป็น CMS ออกแบบมาเพื่อทำ e-commerce หรือสำหรับขายสินค้าออนไลน์ ซึ่งส่งผลให้แฮกเกอร์สามารถเข้าควบคุมเว็บไซต์ทีติดตั้ง Magento ได้เพียงแค่ผู้ใช้งานที่มีบัญชีของ Magento ใส่โค้ด Javascript ที่อันตรายในช่อง email address ในหน้าตั้งค่าบัญชี โดยที่ระบบของ Magneto ไม่มีการกรองอักขระที่เป็นอันตราย ทำให้โค้ดของ Javascript สามารถรันในหน้าแอดมินได้ อย่างไรก็ตามช่องโหว่ Stored XSS มีผลกระทบโดยตรงกับ Magento CE เวอร์ชั่นต่ำกว่า 1.9.2.3 และ Magento EE เวอร์ชั่นต่ำกว่า 1.14.2.3 นอกจากนี้ยังมีการพบช่องโหว่ Stored XSS ในช่องคอมเมนต์ที่สามารถใส่โค้ด Javascript ไปบันทึกในฐานข้อมูลได้ ส่งผลกระทบกับ Magento CE เวอร์ชั่น 2 และ Magento EE เวอร์ชั่นตำกว่า 2.0.1 แนะนำให้ควรอัพเกรด Magento ไปเป็นเวอร์ชั่นล่าสุดโดยทันที
ที่มา : net-security, SUCURIBlog
You must be logged in to post a comment.