L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Magento Commerce

avis de vulnérabilité informatique 26559

Magento Commerce : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Magento Commerce.
Produits concernés : Magento EE, Magento CE.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, accès/droits client.
Provenance : client internet.
Date création : 27/06/2018.
Références : CERTFR-2018-AVI-311, SUPEE-10752, VIGILANCE-VUL-26559.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Magento Commerce.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité 25393

Magento : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Magento.
Produits concernés : Magento EE, Magento CE.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits client, lecture de données, effacement de données.
Provenance : document.
Date création : 28/02/2018.
Références : CERTFR-2018-AVI-103, DC-2018-03-001, DC-2018-03-002, DC-2018-03-003, DC-2018-03-004, VIGILANCE-VUL-25393.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Magento.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique 24376

Magento : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Magento.
Produits concernés : Magento EE, Magento CE.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits client, lecture de données, effacement de données.
Provenance : client internet.
Date création : 08/11/2017.
Références : CERTFR-2017-AVI-397, VIGILANCE-VUL-24376.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Magento.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité 24264

Magento : obtention d'information via local.xml

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via local.xml de Magento non installé avec Apache httpd (par exemple nginx), afin d'obtenir des informations sensibles.
Produits concernés : Magento EE, Magento CE.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 30/10/2017.
Références : VIGILANCE-VUL-24264.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via local.xml de Magento non installé avec Apache httpd (par exemple nginx), afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité 23843

Magento : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Magento.
Produits concernés : Magento EE, Magento CE.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données.
Provenance : client internet.
Date création : 15/09/2017.
Références : CERTFR-2017-AVI-303, DC-2017-09-001, DC-2017-09-002, VIGILANCE-VUL-23843.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Magento.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique 22878

Magento : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Magento.
Produits concernés : Magento EE, Magento CE.
Gravité : 4/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits client, lecture de données, création/modification de données.
Provenance : document.
Date création : 01/06/2017.
Références : VIGILANCE-VUL-22878.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Magento.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité 22432

Magento : Cross Site Request Forgery

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de Magento, afin de forcer la victime à effectuer des opérations.
Produits concernés : Magento EE, Magento CE.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Date création : 13/04/2017.
Références : VIGILANCE-VUL-22432.

Description de la vulnérabilité

Le produit Magento dispose d'un service web.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de Magento, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2016-10034

Zend Framework : exécution de code via zend-mail

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via zend-mail de Zend Framework, afin d'exécuter du code.
Produits concernés : Fedora, Magento EE, Magento CE, Zend Framework.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 21/12/2016.
Références : APPSEC-1746, CVE-2016-10034, FEDORA-2016-1185de6aa6, FEDORA-2016-a6e72e28e1, VIGILANCE-VUL-21440, ZF2016-04.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via zend-mail de Zend Framework, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité 21394

Magento : obtention d'information par défaut de cloisonnement

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données de Magento, afin d'obtenir des informations personnelles.
Produits concernés : Magento EE, Magento CE.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 15/12/2016.
Références : VIGILANCE-VUL-21394.

Description de la vulnérabilité

Un site Magento peut héberger plusieurs boutiques.

Cependant, le cloisonnement des boutiques hébergées sur un même site n'est pas correct: un attaquant ayant légitiment accès à des données sur les clients et les commandes d'une boutique peut accéder aux informations de même type pour les autres boutiques hébergées sur le même serveur.

Un attaquant peut donc contourner les restrictions d'accès aux données de Magento, afin d'obtenir des informations personnelles.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité 21123

Magento EE : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Magento EE.
Produits concernés : Magento EE.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, accès/droits client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 15/11/2016.
Références : VIGILANCE-VUL-21123.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Magento EE.

Un attaquant peut provoquer un Cross Site Request Forgery via Form Key, afin de forcer la victime à effectuer des opérations. [grav:2/4]

Un attaquant peut provoquer un Cross Site Scripting via Category, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Magento Commerce :