VirtueMart 3.1.14 - 持久型跨站脚本漏洞

漏洞描述

VirtueMart是Joomla最出色的电子商城组件,它拥有一些很棒的特性,比如支持128位HTTPS加密、支持不同语言切换、支持不同货币切换等,注册用户可以在VirtueMart搭建的交易系统中管理用户账户、管理收货地址、查看交易记录、定制订单邮件提醒等。VirtueMart的功能非常强大,最重要的是,VirtueMart是开源的。

VirtueMart 3.2.14之前的版本中发现了一个XSS问题。只需将</ textarea>添加到输入值中并保存产品/配置即可闭合该插件管理区域中的所有textareas。 通过编辑产品/配置,编辑者的浏览器将执行</ textarea>之后的所有内容,从而产生可能的XSS。

解决方案

1.目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://virtuemart.net/

2.购买深信服下一代防火墙的用户,可以开启WAF防御模块,可轻松防御此类漏洞。