CVE-2012-2629

Versões 1.1.1 e anteriores do Axous

Várias vulnerabilidades de falsificação de solicitação entre sites (CSRF) e de script entre sites (XSS) permitem que invasores remotos se apropriem da autenticação de administradores para realizar solicitações. Isso pode ser feito por meio de vários parâmetros em diferentes arquivos PHP, incluindo page title em “admin/content pages edit.php”, category name[] em “admin/products category.php” e vários parâmetros em “admin/settings siteinfo.php”, “admin/settings company.php” e “admin/settings email.php”.

Para as versões 1.1.1 e anteriores do Axous, considere desativar o acesso aos arquivos PHP vulneráveis, como “admin/administrators add.php”, “admin/content pages edit.php”, “admin/products category.php”, “admin/settings siteinfo.php”, “admin/settings company.php” e “admin/settings email.php”, até que um patch esteja disponível.

Restrinja o uso de parâmetros vulneráveis, incluindo page title, category name[], site name, seo title, meta keywords, company name, address1, address2, city, state, country, author first name, author last name, author email, contact first name, contact last name, contact email, general email, general phone, general fax, sales email, sales phone, support email, support phone, system email, sender name, smtp server, smtp username, smtp password e order notice email, para minimizar o risco de exploração.

No momento, há