Magento电子商务网站敦促应用安全更新

安全专家警告，未能修补Adobe拥有的Magento E-商务平台中的分布型麦克约电子商务平台的注射漏洞，可能会使数十万人的电子商务网站。

该漏洞是Magento在3月份提前修补的几个补丁，但它是唯一可以在没有任何形式的特权或身份验证的情况下被剥削的唯一一个。它未知了Magento的300,000个客户网站有多少风险。

与其他最近修补的漏洞不同，它很容易利用，因为攻击者不需要在网站上进行身份验证，并且有一定程度的特权能够进行卡片撇击。

未经身份的攻击，非常严重，因为它们可以自动化，警告Marc-Alexandre Montpas，Sucuris的研究员。

“[这使]黑客容易登上成功，广泛攻击易受攻击的网站。活动安装的数量，易于攻击以及成功攻击的效果是使这个脆弱性特别危险的原因，“他在博客帖子中写道。

与所有SQL注入漏洞一样，无法修补程序为攻击者提供将自己命令注入SQL数据库以获得敏感数据，例如用户名和密码哈希。

根据Magento安全咨询，此漏洞会影响软件的开源或商业版本的网站。受影响的版本为2.1prior2.1.17,2.2.prior to2.2.8，和2.3prior to2.3.1。

据Sysnam Narang，Satnam Narang，Satnam Narang，Sysnam Narang，Sysnam Narang，Sysnam Narang，Sysnam Narang，Sysnam Narang，Sysnam Narang，Sysnam Narang，Sysnam Narang，Sysnam Narang，Sysnam Narang，Sysnam Narang，Sysnam Narang，Satnam Narang，Sysnam Narang，Sysnam Narang等漏洞的攻击，如斯蒂克特马斯特，如斯蒂克特马斯特，如斯蒂克塔姆斯特，如斯蒂克特马斯特，那么这是一个安全的公司。

“本周早些时候，Magento发布了一个安全更新，以解决Magento开放源和商业的30多个漏洞。他说，这个版本中最值得注意的是Prodsecbug-2198的补丁，它可以导致远程代码执行，“他说。

“虽然没有用于此错误的概念验证代码或漏洞脚本，但由于剥削的相对容易性，Magento站点所有者应尽快升级到这些修补的版本。多年来，Magento电子商务网站一直是网络罪犯的热门目标，因此存在未经认真验证的远程执行代码执行错误肯定不会被忽视。“

Web安全公司高科技桥梁首席执行官Ilia Kolochenko表示，Magento SQL注入漏洞可能导致“最灾难性的”黑客攻击。

“Magento大多用于可信电子商务网站，因此打开了一个大量敏感的PII [个人身份信息]，包括有效的信用卡详细信息。最危险的缺陷是可以在没有任何预先条件的情况下被剥削的SQL注入，足以窃取整个数据库，并且可能会控制弱势网站和Web服务器。一旦所有有价值的数据被盗，他们就可以困扰着困扰的网站，“他说。除了急需更新系统外，Kolochenko还表示，所有Mageneto站点运算符都应检查Web服务器和所有其他可用日志，用于妥协指标（IOC）。

“如果怀疑最令人愉快的情况，应进行详细的取证以确定系统是否被违反。这几天，网络罪犯知道如何覆盖他们的曲目，但是，他们可能无意中抑制太多的证据，从而暴露他们的存在。“