Faille de sécurité extension Magento (CVE-2015-3428)

L’extension aheadWorks antérieure à la version 1.3.10 de Magento est victime d’une faille critique permettant à partir d’une simple SQL injection de récupérer les identifiants d’administration de Magento en extrayant les utilisateurs et le hash de leurs mots de passe à partir de la table admin_user.

Il est très vivement conseiller de mettre à jour votre extension si sa version est inférieure à la 1.3.10

http://www.magentocommerce.com/magento-connect/blog-community-edition-by-aheadworks.html

Source : http://appcheck-ng.com/critical-security-flaw-patched-in-magento-blog-extension-cve-2015-3428/