2016年5月17日, 安全研究人员Netanel Rubin报告了一个影响Magento电子商务平台的严重漏洞CVE-2016-4010。该漏洞涉及XMLRPC或REST接口中参数序列化与反序列化的逻辑错误,允许攻击者通过替换特定类来完全控制网站。Magento官方迅速响应,于次日发布2.0.6版本修复此漏洞。
以色列安全研究人员Netanel Rubin于2016年5月17日报告了关于Magento电子商务平台的高危漏洞。攻击者可以利于XMLRPC或REST接口中对于参数序列化与反序列化的逻辑错误,任意替换对象中与数据库操作、文件操作等敏感内容相关类,以达到完全控制网詀的漏洞。该漏洞代号CVE-2016-4010,威胁度评分可达9.8/10。对于该漏洞,Magento官方于2016年5月18日立刻发布了2.0.6版本以修复该漏洞。
文章转载自 开源中国社区[http://www.oschina.net]
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
