希卡商城,5.1.1版本,第三方扩展,XSS(跨站脚本攻击)
希卡商城版本:旧5.1.0 / 新5.1.
更新详情:有人向我们报告称,对于任何有权访问希卡商城后端产品版本界面的用户,通过在希卡商城产品描述中注入javascript,在版本5.1.0之前,有可能通过XSS攻击提升他们的权限。
这可能会允许他们通过这种方法获得超级管理员访问权限。
根据此反馈,我们已添加了一个新选项,让您可以选择是否要在后端过滤产品描述的HTML。
默认情况下是激活的,因此,如果您使用的是希卡商城5.1.1或更高版本,则默认情况下不会通过这种攻击方式实现。
变更日志URL: https://www.hikashop.com/support/documentation/56-hikashop-changelog.html
下载URL: https://www.hikashop.com/extensions/hikashop-starter.html