网络安全 频道

关键的Magento SQL注入漏洞可能很快成为黑客攻击目标

  成千上万的在线商店使用的Magento内容管理系统已经收到了几个严重漏洞的修复程序,其中包括一个未经身份验证的SQL注入漏洞,很可能很快成为攻击者的攻击目标。

  Magento是一家自2018年以来的Adobe公司,为37个安全问题发布了安全补丁,影响其平台的商业和开源版本。利用这些漏洞可以实现远程代码执行,SQL注入,跨站点脚本,权限提升,信息泄露和垃圾邮件。

  常见漏洞评分系统(CVSS)评分中有四个漏洞的得分高于9 ,这意味着它们至关重要。其中一个SQL注入缺陷是研究人员特别关注的问题,因为它可以在没有身份验证的情况下被利用。“SQL漏洞非常容易被利用,我们鼓励每个Magento网站所有者更新这些最近修补的版本以保护他们的电子商务网站,”网络安全公司Sucuri的研究人员在一篇博客文章中说。

  我们鼓励每个Magento网站所有者更新这些最近修补的版本,以保护他们的电子商务网站。

  研究人员已经对该补丁进行了逆向工程,并为内部测试创建了一个可靠的概念验证漏洞。他们还没有公开发布它,但攻击者很可能很快就会发现自己如何利用这个漏洞。

  Magento是一个受黑客欢迎的攻击目标

  由于其受欢迎程度及其处理的敏感客户数据,Magento平台是黑客的一个有吸引力的目标,并且过去曾多次成为广泛攻击的目标。在过去一年中,针对在线商店的攻击次数有所增加,一些黑客专门从事网络浏览,在计算机上注入流氓脚本以捕获信用卡详细信息。

  SQL注入漏洞允许将数据注入数据库或从数据库中读取信息。即使这个特定的漏洞不能用于直接感染网站,它也可能使攻击者能够访问网站上的帐户。然后,可以使用该访问来利用在此版本中修补并需要身份验证的其他权限提升或代码执行缺陷之一。

  “未经验证的攻击,就像在这个特定的SQL注入漏洞中看到的那样,非常严重,因为它们可以自动化,使黑客很容易对易受攻击的网站进行成功的,广泛的攻击,”Sucuri研究人员警告说。“主动安装的数量,易用性以及成功攻击的影响使得这个漏洞特别危险。”

  立即升级Magento

  建议Magento Commerce和Magento开源用户升级到新发布的版本2.3.1,2.2.8和2.1.17,具体取决于他们使用的分支。为了在不部署完整更新的情况下快速保护其站点,用户还可以选择仅手动安装SQL注入漏洞(PRODSECBUG-2198)的补丁。但是,完整更新不应该延迟很长时间。

  根据Sucuri的说法,站点管理员还应该监视他们的访问日志,以获取/ catalog / product / frontend_action_synchronize路径的命中。对该路径的偶然请求可能是合法的,但是在短时间间隔内来自同一IP地址的大量请求应被视为可疑,并且可能是尝试利用此漏洞。

0
相关文章