Gabriel, l’un des meilleur expert Magento en France, vient de m’envoyer l’info :
Magento Community Edition, jusqu’à la 1.3.3.0 incluse, et Magento Enterprise, jusqu’à la 1.6, ont une faille de sécurité, qui permet à un site tier de récupéter les infos sur les clients :
Nom, Prénom, Téléphone, Adresse, date de création de compte…
Pour toutes infos complémentaires, et corrections, il faut aller sur :
J’ai hésité à publié l’info, mais je me suis dit qu’il était important que les sites corrigent rapidement cette faille, donc, il vaut mieux diffuser largement cette information.
Bonsoir François,
Il y a également cette faille Magento / Paypal publiée aujourd’hui par NBS.
http://www.nbs-system.com/blog/faille-magento-paypal.html
CD
@Christophe> Décidément… Merci !
Bonjour François,
Magento a corrigé la faille de sécurité.
Voici la réponse du Support Technique:
« »There was a vulnerability for Magento’s implementation of Enterprise Edition 1.8 which was fixed in version 1.9. » Source: Magento Technical Support 14/05/2012
N.B.: j’ai contacté personnellement le support technique de Magento.
Cordialement,
Nassim Bojji
Twitter: @NassimBojji
La derniere faille en question est une injection XXE, c’est une faille assez recente.
Encore 50% des sites web sont vulenrables, il est tres important de mettre a jour son CMS, pour voir les version c’est ici :
http://www.barberetsecurity.ch/blog/magento-ecommerce-xxe/
RsyncON