Nasz przyjaciel Dawid Gołuński wypuścił advisory dotyczące popularnego skryptu do tworzenia sklepów Internetowych – Magento wraz z przykładowym exploitem bazującym na injekcji dodatkowych komend w zapytaniu SOAP (XML eXternal Entity, w skrócie XXE).
Luki dotyczą wersji:
eBay Magento CE <= 1.9.2.1 XML eXternal Entity Injection (XXE) on PHP FPM eBay Magento EE <= 1.14.2.1
Advisory dostępne pod adresem http://legalhackers.com/advisories/eBay-Magento-XXE-Injection-Vulnerability.txt
Jak informuje Softpedia, w podobnym czasie została wykryta także luka pozwalająca na zdalne wykonanie kodu.