Magento是美国Magento公司的一套专业开源的PHP电子商务系统,它提供权限管理、搜索引擎和支付网关等功能。Magento Community Edition（CE）是一个社区版。Magento Enterprise Edition（EE）是一个企业版。 Magento CE 1.9.1.0版本和EE 1.14.1.0版本的Mage_Adminhtml_Block_Widget_Grid类中的‘getCsvFile’函数存在SQL注入漏洞。当程序设置‘popularity[from]’或‘popularity[to]’参数时,远程攻击者可通过‘popularity[field_expr]’参数利用该漏洞执行任意SQL命令。

Magento Magento Community Edition (CE) 1.9.1.0 Magento Magento Enterprise Edition (EE) 1.14.1.0

用户可参考如下供应商提供的安全公告获得补丁信息: