Magento电子商务平台中发现严重漏洞

远程代码执行（RCE）漏洞，影响了全球数十万在线商家。如果受到攻击，该严重漏洞可能会让黑客完全破坏Magento支持的任何在线商店，并获得与客户相关的信用卡详细信息和其他财务及个人信息。

 

Magento平台中的这一严重缺陷利用了一系列漏洞，最终允许未经验证的攻击者在web服务器上执行他们选择的任何PHP代码。

 

所有导致远程代码执行（RCE）缺陷的漏洞都存在于Magento核心代码中，并影响Magento社区版和Magento企业版的默认安装。

 

通过在web服务器上运行任意代码，攻击者可以绕过所有安全机制，完全控制易受攻击的在线商店及其完整数据库，从而允许信用卡盗窃和其他管理访问系统。

 

最令人不安的是，Check Point研究团队的安全研究人员发现了该漏洞，并在今年1月向Magento报告了一份建议修复的列表。

 

然而，该补丁发布已经两个多月了，现在仍然是超过50%的Magento网站易受攻击这些攻击是最糟糕的，因为它们是电子商务网站。

 

"我们发现的漏洞不仅对一家商店构成了重大威胁，而且对所有使用Magento平台进行在线商店的零售品牌也构成了重大威胁，这些零售品牌占据了大约30%的电子商务市场，Check Point周一在一篇博客文章中写道。

 

所以，你现在需要修补你的Magento网站！

 

因此，我们敦促在线商店的所有者和管理员立即应用该补丁，因为Magento电子商务网站受到损害的影响可能会对所有使用该平台构建的网站的在线买家造成毁灭性的影响。

 

最近，还发现网络犯罪分子正在恶意篡改合法的Magento电子商务网站，以便将其客户在结账过程中提交的所有数据（包括信用卡详细信息）发送到攻击者控制的第三方恶意网站。