Magento Mass Importer < 0.7.23 跨站脚本
medium Web App Scanning 插件 ID 112441
语言:
简介
Magento Mass Importer < 0.7.23 跨站脚本描述
Magento Mass Importer (Magmi) 是一个 Magento 数据库客户端,用于对在线商店的模型执行原始批量操作。0.7.23 之前的 Magento Mass Importer 版本受到通过 /magmi/web/ajax_gettime.php URL 的前缀参数造成的跨站脚本漏洞的影响,从而允许攻击者在有漏洞的应用程序的上下文中注入 HTML 或 javascript 代码。攻击者可利用此漏洞针对 Magento 特权用户,并获取敏感信息的访问权限或代表该用户执行修改。解决方案
Magento Mass Importer 版本 0.7.23 已修复此漏洞,但仍在开发中且存在已知问题。因此,建议删除该软件。另见
https://github.com/dweeves/magmi-git/issues/522
https://www.documentcloud.org/documents/6893935-FBI-Flash-Alert-MU-000127-MW.html
插件详情
严重性: Medium
ID: 112441
类型: remote
发布时间: 2020/6/11
最近更新时间: 2021/9/7
扫描模板: api, basic, full, pci, scan
风险信息
VPR
风险因素: Medium
分数: 4.6
CVSS v2
风险因素: Medium
基本分数: 4.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS 分数来源: CVE-2017-7391
CVSS v3
风险因素: Medium
基本分数: 6.1
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
CVSS 分数来源: CVE-2017-7391
漏洞信息
CPE: cpe:2.3:a:magmi_project:magmi:*:*:*:*:*:*:*:*
可利用: true
易利用性: Exploits are available
漏洞发布日期: 2017/3/17
参考资料信息
CVE: CVE-2017-7391
BID: 97311
CWE: 79
OWASP: 2010-A2, 2013-A3, 2013-A9, 2017-A7, 2017-A9, 2021-A3, 2021-A6
WASC: Cross-Site Scripting
CAPEC: 209, 588, 591, 592, 63, 85
DISA STIG: APSC-DV-002490, APSC-DV-002630
HIPAA: 164.306(a)(1), 164.306(a)(2)
ISO: 27001-A.14.2.5
NIST: sp800_53-CM-6b, sp800_53-SI-10
OWASP API: 2019-API7, 2023-API8
OWASP ASVS: 4.0.2-14.2.1, 4.0.2-5.3.3