Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités ont été annoncées dans Magento
version 2.

Produits concernés : Magento CE, Magento EE.

Gravité : 2/4.

Date création : 21/01/2016.

DESCRIPTION DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités ont été annoncées dans Magento
version 2.

Un attaquant peut provoquer un Cross Site Scripting dans User
Name, afin d’exécuter du code JavaScript dans le contexte du site
web. [grav:2/4]

Un attaquant peut contourner les mesures de sécurité dans Block
Cache, afin d’obtenir des informations sensibles. [grav:2/4]

Un attaquant peut provoquer un Cross Site Scripting dans Order
Comments, afin d’exécuter du code JavaScript dans le contexte du
site web. [grav:2/4]

Un attaquant peut provoquer une injection SQL dans Layered
Navigation, afin de lire ou modifier des données. [grav:2/4]

Un attaquant peut effectuer un brute-force dans Guest Order View,
afin d’élever ses privilèges. [grav:2/4]

Un attaquant peut provoquer un Cross Site Scripting dans Custom
Options, afin d’exécuter du code JavaScript dans le contexte du
site web. [grav:2/4]

Un attaquant peut contourner les mesures de sécurité dans
Reviews, afin d’élever ses privilèges. [grav:2/4]

Un attaquant peut contourner les mesures de sécurité d’un
CAPTCHA, afin d’élever ses privilèges. [grav:2/4]

Un attaquant peut provoquer un Cross Site Scripting dans Cookie
Header, afin d’exécuter du code JavaScript dans le contexte du
site web. [grav:2/4]

Un attaquant peut provoquer un Cross Site Request Forgery dans
Delete Items from Cart, afin de forcer la victime à effectuer des
opérations. [grav:2/4]

Un attaquant peut injecter du code dans la base, afin d’élever
ses privilèges. [grav:1/4]

Un attaquant peut contourner les mesures de sécurité de
MaliciousCode Filter, afin d’élever ses privilèges. [grav:2/4]

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/Magento-2-multiples-vulnerabilites-18782