Magento 输入验证错误漏洞

漏洞介绍

Magento是美国Magento公司的一套开源的PHP电子商务系统。该系统提供权限管理、搜索引擎和支付网关等功能。

Magento 1.9.2.1之前版本（社区版）和1.14.2.1之前版本（企业版）（PHP 5.4.24之前版本或5.5.8之前版本）中的app/code/core/Mage/Catalog/Model/Product/Api/V2.php文件的\'\'create\'\'函数存在输入验证错误漏洞。远程攻击者可通过向index.php/api/v2_soap发送‘productData’参数利用该漏洞执行任意PHP代码。

漏洞补丁

目前厂商已发布升级了Magento 输入验证错误漏洞的补丁，Magento 输入验证错误漏洞的补丁获取链接：

https://magento.com/security/patches/supee-6482

参考网址

来源:blog.mindedsecurity.com

链接：http://blog.mindedsecurity.com/2015/09/autoloaded-file-inclusion-in-magento.html

来源:karmainsecurity.com

链接：http://karmainsecurity.com/KIS-2015-04

来源:magento.com

链接：http://magento.com/security/patches/supee-6482

来源:packetstormsecurity.com

链接：https://packetstormsecurity.com/files/133544/Magento-1.9.2-File-Inclusion.html

来源:seclists.org

链接：http://seclists.org/fulldisclosure/2015/Sep/48

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202001-618