VULHUB ™

Magento是美国Magento公司的一套开源的PHP电子商务系统，它提供权限管理、搜索引擎和支付网关等功能。Magento Enterprise Edition（EE）是一个企业版。Magento Community Edition（CE）是一个社区版。 Magento EE 1.14.2.3之前版本和Magento CE 1.9.2.3之前版本的app/code/core/Mage/Rss/Helper/Order.php文件中的Mage_Rss_Helper_Order类中的‘getOrderByStatusUrlKey’函数存在安全漏洞，该漏洞源于index.php/rss/order/status URI没有充分过滤RSS feed请求中的‘data’参数。远程攻击者可借助该参数的JSON对象中的‘order_id’字段利用该漏洞获取敏感的订单信息。

Magento是美国Magento公司的一套开源的PHP电子商务系统，它提供权限管理、搜索引擎和支付网关等功能。Magento Enterprise Edition（EE）是一个企业版。Magento Community Edition（CE）是一个社区版。 Magento EE 1.14.2.3之前版本和Magento CE 1.9.2.3之前版本的app/code/core/Mage/Rss/Helper/Order.php文件中的Mage_Rss_Helper_Order类中的‘getOrderByStatusUrlKey’函数存在安全漏洞，该漏洞源于index.php/rss/order/status URI没有充分过滤RSS feed请求中的‘data’参数。远程攻击者可借助该参数的JSON对象中的‘order_id’字段利用该漏洞获取敏感的订单信息。