Une faille de sécurité affecte le processus de commande de certaines versions de Magento Community et Enterprise. L’exploitation de la faille permet la récupération des adresses clients enregistrées sur le site, c’est à dire :
- identité : prénom, nom, civilité
- société, téléphone, fax
- adresse complète : rue, code postal, ville, région, pays
- date de création et de mise à jour de l’adresse client
Exemple de données brutes récupérées librement :
{"entity_id":"1","entity_type_id":"2","attribute_set_id":"0",
"increment_id":"","parent_id":"2","created_at":"2012-04-22 20:13:28",
"updated_at":"2012-04-22 20:13:28","is_active":"1","firstname":"Gabriel",
"lastname":"Bouhatous","company":"The e-Commerce Academy",
"city":"Paris","region":"257","postcode":"75008","country_id":"FR",
"telephone":"068977xxxx","fax":"","region_id":"257","street":
"140 Boulevard Haussmann","street1":"140 Boulevard Haussmann"}