著名电子商务软件Magento近期发布了针对所有平台的安全更新,修复了多个漏洞。其中某些高危漏洞可让黑客执行任意代码。
此次安全漏洞主要影响了Magento Commerce(2.3.3/2.2.10及以下)、开源版本(2.3.3/2.2.10及以下)、企业版本(1.14.4.3及以上)和社区版本(1.9.4.3及以上)。现在每个版本均有了新版本。
严重性
此次更新修复了6个漏洞,其中一半被评为严重,其余的都被标记为重要。
两个严重漏洞分别为不可信数据被反序列化(CVE-2020-3716)和安全验证绕过(CVE-2020-3718),两者都会导致任意代码执行。
第三个是SQL注入(CVE-2020-3719),可导致敏感信息泄露。
对于另外三个严重漏洞(两个存储型跨站脚本和一个路径遍历),黑客可利用它们获取敏感信息,辅助进行下一步攻击。
目前修复后的Magento 2.3.4可供下载,建议管理员立即安装。不过目前还没有利用这些漏洞进行攻击的痕迹。
Magento商店经常被黑客利用已知的漏洞攻击并植入恶意JS代码,目的是为了从付款表单中窃取支付卡数据和敏感客户信息。
这些窃取金钱信息的攻击被称为MageCart,因为它们最初的目标正是运行Magento的网站。目前已有多个网络犯罪组织参与了这一攻击浪潮,袭击了数十万家商店。
最近,在国际刑警组织和网络安全公司Group-IB的帮助下,印尼警方逮捕了三名涉嫌实施MageCart攻击的黑客。
而从这个版本开始,Magento的漏洞将由Adobe进行整理公开,该公司于2018年年中完成了对Magento平台的收购。
目前Magento的更新不仅仅解决的是安全漏洞,还增强了页面构建功能、与Adobe Stock的集成、与基于PWA Studio商店的兼容性以及多处体验改善。完整介绍可在Magento网站上找到。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.bleepingcomputer.com/news/security/magento-234-fixes-critical-code-execution-vulnerabilities/