漏洞标题
N/A
漏洞描述信息
在 Magento Enterprise Edition 的 app/code/core/ Mage/Rss/Helper/Order.php 文件以及在 Magento Community Edition 的 1.9.2.3 之前的版本中, Mage_Rss_Helper_Order 类中的 getOrderByStatusUrlKey 函数允许远程攻击者通过 RSS 订阅请求的数据参数中的 order_id 来获取敏感订单信息。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The getOrderByStatusUrlKey function in the Mage_Rss_Helper_Order class in app/code/core/Mage/Rss/Helper/Order.php in Magento Enterprise Edition before 1.14.2.3 and Magento Community Edition before 1.9.2.3 allows remote attackers to obtain sensitive order information via the order_id in a JSON object in the data parameter in an RSS feed request to index.php/rss/order/status.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Magento Enterprise Edition和Magento Community Edition 安全漏洞
漏洞描述信息
Magento是美国Magento公司的一套开源的PHP电子商务系统,它提供权限管理、搜索引擎和支付网关等功能。Magento Enterprise Edition(EE)是一个企业版。Magento Community Edition(CE)是一个社区版。 Magento EE 1.14.2.3之前版本和Magento CE 1.9.2.3之前版本的app/code/core/Mage/Rss/Helper/Order.php文件中的Mage_Rss_Helper_Order类中的‘getOrderBy
CVSS信息
N/A
漏洞类别
信息泄露