Una vulnerabilidad crítica afecta prácticamente a todas las versiones de Magento Comunity Edition 1.9.2.2 y anteriores, así como la Enterprise Edition 1.14.2.2 y anteriores, son vulnerables a ataques Cross-Site Scripting (XSS) Stored.

La vulnerabilidad, puede ser explotada durante el registro del un cliente en la tienda afectada. El atacante podría proporcionar una dirección de correo electrónico que contenga código JavaScript. Magento no valida correctamente este mensaje y lo ejecuta en el contexto de administración al ser llamada desde el backend. Este código JavaScript podría servir para robar una sesión de administrador o actuar en nombre de un administrador de la tienda.

La vulnerabilidad ha sido confirmada y corregida por el equipo de seguridad de Magento y le ha asignado el siguiente identificador: APPSEC-1213.