Bienvenue, Invité
Merci de vous identifier ou de vous inscrire.    Mot de passe perdu?

[FAILLE DE SECURITE] Vulnérabilité majeure sur les informations clients dans Magento
(1 lecteur(s)) (1) Invité(s)
Aller en basPage: 1
SUJET:

[FAILLE DE SECURITE] Vulnérabilité majeure sur les informations clients dans Magento

#58351
Gabriiiel
I love Magento.
Expert Magento
Messages: 4118
graph
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur
Sexe: Masculin gabriel.bouhatous Formation Magento Audit Conseil gabriel.bouhatous Ask me :) Lieu: Paris

[FAILLE DE SECURITE] Vulnérabilité majeure sur les informations clients dans Magento

Il y a 4 Années, 11 Mois
Karma: 112  
Quelle est la faille, quel est le risque ?

Une faille de sécurité affecte le processus de commande de certaines versions de Magento Community et Enterprise. L'exploitation de la faille permet la récupération des adresses clients enregistrées sur le site, c'est à dire:

identité : prénom, nom, civilité
société, téléphone, fax
adresse complète : rue, code postal, ville, région, pays
date de création et de mise à jour de l'adresse client
Exemple de données brutes récupérées librement :

{"entity_id":"1","entity_type_id":"2","attribute_set_id":"0",
"increment_id":"","parent_id":"2","created_at":"2012-04-22 20:13:28",
"updated_at":"2012-04-22 20:13:28","is_active":"1","firstname":"Gabriel",
"lastname":"Bouhatous","company":"The e-Commerce Academy",
"city":"Paris","region":"257","postcode":"75008","country_id":"FR",
"telephone":"068977xxxx","fax":"","region_id":"257","street":
"140 Boulevard Haussmann","street1":"140 Boulevard Haussmann"}


La suite de l'article est sur : fragento.org/Actualite/Magento/faille-de...clients-magento.html
 
Dernière édition: 25/04/12 à  10:28 Par Gabriiiel.
Expert Magento @ The e-Commerce Academy

L'administrateur a désactivé l'accès public en écriture.
#58356
zuiko
Moderator
Messages: 2815
graphgraph
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur
Sexe: Masculin

Re:[FAILLE DE SECURITE] Vulnérabilité majeure sur les informations clients dans Magento

Il y a 4 Années, 11 Mois
Karma: 83  
Bonjour,

quelles sont les versions Magento concernées ?
Merci d'avance.
 
Souvent support de mes exemples et conseils cette mercerie en ligne aux produits pro, au thème devenu responsive mobile en avril 2015.
L'administrateur a désactivé l'accès public en écriture.
#58378
strelok
Senior Boarder
Messages: 69
graphgraph
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur

Re:[FAILLE DE SECURITE] Vulnérabilité majeure sur les informations clients dans Magento

Il y a 4 Années, 11 Mois
Karma: 0  
Toutes les versions Community < 1.4 et Enterprise 1.6 visiblement :
blog.academy-ecommerce.com/wp-content/up...ients_Magento_FR.pdf

Le patch est très simple à faire heureusement.
 
L'administrateur a désactivé l'accès public en écriture.
#58389
neuro
Expert Boarder
Messages: 156
graphgraph
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur
Sexe: Masculin Prestataire & hébergeur Magento Lieu: Paris & 64

Re:[FAILLE DE SECURITE] Vulnérabilité majeure sur les informations clients dans Magento

Il y a 4 Années, 11 Mois
Karma: 0  
Pour gagner du temps en recherchant dans plusieurs installations magento différentes (récursivement).

Code :

find /home/vos_installs_magento/ -name "OnepageController.php" -exec  grep  -H -E -o -c  "'HTTP/1.1','403"  {} \; | grep "app/code/core/Mage/Checkout/controllers/OnepageController.php:0"
 
L'administrateur a désactivé l'accès public en écriture.
Revenir en hautPage: 1
Modérateur: Gabriiiel, ILOA, zuiko