Magento电子商务网站敦促应用安全更新
D + 1如何在海湾保持工资单
在线时尚品牌Boohoo看到一年同比的收入增长
谷歌将关闭融合表
谷歌正式完成制作自己的平板电脑
Microsoft在支持结束后,使用Windows XP修复程序设置退休后修补记录 - 5年
Norsk Hydro促进谨慎,因为它计算网络攻击的成本
邮局适用于初中审判的审判
政府预计NHS它会彻底释放创新
Firefox会增加浏览器的浏览网站的通知
解开新的Android通知助理
AWS包多年交易支持福特支持的投标创建开放式汽车云平台
Veeam在APAC中的业务飙升,在卡上收购
数字Doppelgangers出售,以击败防欺诈技术
自动车辆技术对于生产来说太昂贵和不可靠
Fidor创始人留下父母银行剧情未来
Win10 1709的缺失累积更新出现过夜 - KB 4093105
网络铁路指定Aidan Hancock作为IT主管
PC行业遭受了Microsoft Severs在Windows和硬件刷新之间的链接
移动笔是否拖动画布?欢迎来到Win10 1709补丁中的另一个错误
修补周二问题,修复 - 但没有原因立即发出警报
8易于忽略的Android P添加那将使您的生活更轻松
Facebook标准化工作场所定价,提高更大部署的成本
Facebook Bolsters工作场所有50个新的应用程序集成
Microsoft Lifts在Windows 10上更新Embargo
Salesforce在新加坡开设AI研究装备
政府网络安全战略是“混乱”
Microsoft开始推动Windows Server 2019
CTERA与HPE团队将云网关放在简单性HCI中
Amadeus部署在Google Cloud上部署云本机购物应用程序
人工智能制作重大进入俄罗斯银行业务
惠普扩展其设备的服务提供,包括Apple
EE确认2019年5月30日英国5G网络的直播日期
对新西兰的系统集成服务需求飙升
Signbits Super SSD在香草以太网上带来NVME
我修复它:Apple的首页是“像坦克一样建造”
为什么IT部门错过基本IT安全卫生
Ofcom必须重新思考农村宽带USO,主页报告说
您的网络浏览器如何何时安全地告诉您
埃及旨在提前开发教育系统的编码技巧
无线充电距离刚刚获得了升级
家庭办公室寻求移民科技头
9个新的Android P功能会让您更加富有成效
满足“锯齿”,是一个新的建筑企业区块链的模块化平台
WWDC:Apple TV - 低估的故事
AWS如何推动澳大利亚的教育技术初创公司
关于MacBook Pro Core I9节流故事(更新)
在“开放式基础设施”时代重新定义OpenStack
W. VA。使用基于区块链的移动应用程序进行中期投票
NHSX宣布新的领导
您的位置:首页 >产品 > 电子产品 >

Magento电子商务网站敦促应用安全更新

2021-08-27 17:44:07 [来源]:

安全专家警告,未能修补Adobe拥有的Magento E-商务平台中的分布型麦克约电子商务平台的注射漏洞,可能会使数十万人的电子商务网站。

该漏洞是Magento在3月份提前修补的几个补丁,但它是唯一可以在没有任何形式的特权或身份验证的情况下被剥削的唯一一个。它未知了Magento的300,000个客户网站有多少风险。

与其他最近修补的漏洞不同,它很容易利用,因为攻击者不需要在网站上进行身份验证,并且有一定程度的特权能够进行卡片撇击。

未经身份的攻击,非常严重,因为它们可以自动化,警告Marc-Alexandre Montpas,Sucuris的研究员。

“[这使]黑客容易登上成功,广泛攻击易受攻击的网站。活动安装的数量,易于攻击以及成功攻击的效果是使这个脆弱性特别危险的原因,“他在博客帖子中写道。

与所有SQL注入漏洞一样,无法修补程序为攻击者提供将自己命令注入SQL数据库以获得敏感数据,例如用户名和密码哈希。

根据Magento安全咨询,此漏洞会影响软件的开源或商业版本的网站。受影响的版本为2.1prior2.1.17,2.2.prior to2.2.8,和2.3prior to2.3.1。

据Sysnam Narang,Satnam Narang,Satnam Narang,Sysnam Narang,Sysnam Narang,Sysnam Narang,Sysnam Narang,Sysnam Narang,Sysnam Narang,Sysnam Narang,Sysnam Narang,Sysnam Narang,Sysnam Narang,Sysnam Narang,Sysnam Narang,Satnam Narang,Sysnam Narang,Sysnam Narang等漏洞的攻击,如斯蒂克特马斯特,如斯蒂克特马斯特,如斯蒂克塔姆斯特,如斯蒂克特马斯特,那么这是一个安全的公司。

“本周早些时候,Magento发布了一个安全更新,以解决Magento开放源和商业的30多个漏洞。他说,这个版本中最值得注意的是Prodsecbug-2198的补丁,它可以导致远程代码执行,“他说。

“虽然没有用于此错误的概念验证代码或漏洞脚本,但由于剥削的相对容易性,Magento站点所有者应尽快升级到这些修补的版本。多年来,Magento电子商务网站一直是网络罪犯的热门目标,因此存在未经认真验证的远程执行代码执行错误肯定不会被忽视。“

Web安全公司高科技桥梁首席执行官Ilia Kolochenko表示,Magento SQL注入漏洞可能导致“最灾难性的”黑客攻击。

“Magento大多用于可信电子商务网站,因此打开了一个大量敏感的PII [个人身份信息],包括有效的信用卡详细信息。最危险的缺陷是可以在没有任何预先条件的情况下被剥削的SQL注入,足以窃取整个数据库,并且可能会控制弱势网站和Web服务器。一旦所有有价值的数据被盗,他们就可以困扰着困扰的网站,“他说。除了急需更新系统外,Kolochenko还表示,所有Mageneto站点运算符都应检查Web服务器和所有其他可用日志,用于妥协指标(IOC)。

“如果怀疑最令人愉快的情况,应进行详细的取证以确定系统是否被违反。这几天,网络罪犯知道如何覆盖他们的曲目,但是,他们可能无意中抑制太多的证据,从而暴露他们的存在。“

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。