[SEGURIDAD] 3 fallos XSS en el admin de Magento

por | Feb 26, 2009 | Magento | 0 Comentarios

Security Focus ha revelado antes de ayer 3 fallos de seguridad por inyección XSS relativos a 3 paginas del admin:

  1. El downloader (www.dominio.com/magento/downloader): Para verlo, ir a http://www.dominio.com/magento/downloader?return=%22%3Cscript%3Ealert(xss)%3C/script%3E.
    Para corregirlo, abrir /downloader/Maged/Model/Session.php y reemplazar las lineas 60-62:

            if (!empty($_GET['return'])) {
            $this->set('return_url', $_GET['return']);
        }

    por estas:

            if (!empty($_GET['return'])) {
            $this->set('return_url', htmlentities($_GET['return']));
        }
  2. Login del administración: Para verlo, poner 
    ">

    en el campo Nombre de Usuario y lo que sea en de contraseña.
    Para corregirlo, abrir app\design\adminhtml\default\default\template\login.phtml y reemplazar la linea 54:

con
  • La pagina que reenvia la contraseña del administrador: Para verlo ir a Para verlo, ir a http://www.dominio.com/magento/admin/admin/index/forgotpassword/ y hacer lo mismo que en el punto 2.
    Para corregirlo, abrir app\design\adminhtml\default\default\template\forgotpassword.phtml y reemplazar la linea 58:

    con

    • De todas formas, como regla general nunca entrar en el admin a partir de un enlace que os pasan, así se evitan estos peligros. Cuando cambiais el código, cuidado con las comillas, que no sé si copiaran bien o no (de lo que he probado si se guardan bien, pero estad atento 😉 )
    Lo he visto donde nuestros vecinos franceses.

    Edito: para completar este tema, en el blog oficial explican que una buena practica es de cambiar el nombre del admin,o sea en vez de tener el panel de administración en http://www.midominio.com/magento/admin algo como http://www.midominio.com/magento/loqueyodiga .
    Esto se puede especificar en el proceso de instalación de la tienda, pero por si lo queremos cambiar despues, en una tienda en funcionamiento, hay que editar el archivo app/etc/local.xml cambiando el valor de admin->routers->adminhtml->args->frontName:

    Trackbacks/Pingbacks

    1. SEO – Lorenzo Ballanti Moran – Optimizador de Empresas Online» RSS » Fallo de seguridad - [...] 3 fallos XMS en el admin de Magento Etiquetado con: Administración, Magento.com.es, Seguridad, Xss [...]

    Enviar comentario

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    FactoriaDigital te informa que los datos de carácter personal que nos proporciones rellenando el presente formulario serán tratados por FactoriaDigitalCom Soluciones Internet S.L.U. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para gestionar los comentarios que realizas en este blog. Legitimación: Al marcar la casilla de aceptación, estás dando tu legítimo consentimiento para que tus datos sean tratados conforme a las finalidades de este formulario descritas en la política de privacidad. Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en privacidad@factoriadigital.com, así como el derecho a presentar una reclamación ante una autoridad de control.