Publié le : 05-07-2012 Source : Magento Blog
Une vulnérabilité importante a été détectée dans le Framework Zend. Magento est indirectement concerné par cette vulnérabilité étant construit autour de ce framework. Cette vulnérabilité peut permettre aux attaquants de lire n'importe quel fichier sur le serveur lorsque la fonctionnalité Zend XMLRPC est activée. Ils peuvent de cette manière accéder à vos fichiers de mot de passe, de configuration, ou éventuellement aux bases de données si elles sont stockées sur le même serveur web. Elle concerne l'ensemble des versions de Magento (CE < 1.7.0.2, EE < 1.12.0.2).
Un patch correctif a été mis à disposition sur le site de l'éditeur. Dans le cas où le patch ne peut pas être appliqué. Il est possible de temporairement désactiver la fonctionnalité RPC. Après application du patch les applications utilisant l'API de la fonctionnalité XMLRPC ne seront pas opérationnelles.
Le patch correctif est directement intégré au dernières versions de Magento CE 1.7.0.2 et EE 1.12.0.2.
