資安業者Trustwave近日公布了知名開放源碼購物車程式 Zen Cart的安全漏洞,指出Zen Cart含有逾50個「跨站指令碼」(Cross-site Scripting,XSS)安全漏洞,並呼籲使用者部署最新的Zen Cart 1.5.5版本。
Zen Cart為一線上商店管理系統,可透過開放源碼的GNU General Public License取得免費授權,估計全球約有11.3萬個使用者。
Trustwave表示,這些XSS漏洞允許駭客存取系統上所儲存的cookie、機密資訊或置換網頁,駭客可根據所取得的資訊展開進一步的攻擊,影響Zen Cart 1.5.4,也可能殃及先前的版本。
Trustwave在發現漏洞後即與Zen Cart聯繫,並協助Zen Cart修補漏洞。Zen Cart則釋出Zen Cart 1.5.5進行修補,迄今尚未接獲用戶受到攻擊的報告。