乐高在线市场中的API缺陷可能使用户帐户、数据面临风险

据外媒15日报道，Salt Labs的研究人员发现，乐高在线市场中的API缺陷可能允许攻击者接管用户帐户、泄露存储在平台上的敏感数据，甚至获取内部生产数据的访问权限以危害公司服务。安全研究员表示，其中一个是跨站点脚本(XSS)漏洞，该漏洞可以让攻击者在用户的机器上注入和执行代码。另一个漏洞则是允许执行XML外部实体(XXE)注入攻击，包含对外部实体的引用的XML输入由配置较弱的XML解析器处理。目前，乐高还未对此做出回应。