发现严重的Magento SQL注入漏洞，修补你的网站

Magento昨天发布了其内容管理软件的新版本，以解决总共37个新发现的安全漏洞。

Magento自2018年年中起归Adobe所有，是最受欢迎的内容管理系统（CMS）平台之一，为互联网上28%的网站提供支持，超过25万商家使用开源电子商务平台。
尽管报告的大多数问题只能由经过身份验证的用户利用，但Magento中最严重的缺陷之一是SQL注入漏洞，未经身份验证的远程攻击者可以利用该漏洞进行攻击。

该漏洞没有CVE ID，但内部标记为“PRODSECBUG-2198”，可能允许远程黑客从易受攻击的电子商务网站的数据库中窃取敏感信息，包括管理员会话或密码哈希，黑客可以访问管理员的仪表板。

受影响的Magento版本包括：

• Magento 1.9.4.1之前的开源软件
• 1.14.4.1之前的Magento Commerce
• 2.1.17之前的Magento Commerce 2.1
• Magento Commerce 2.2.8之前的版本
• 2.3.1之前的Magento Commerce 2.3

由于Magento网站不仅存储用户信息，还包含客户的订单历史和财务信息，该漏洞可能会导致灾难性的在线攻击。
考虑到Magento电子商务网站每天处理的数据的敏感性，以及SQL漏洞所代表的风险，Magento开发者决定不公布该漏洞的技术细节。

除了SQLi漏洞外，Magento还修补了跨站点请求伪造（CSRF）、跨站点脚本（XSS）、远程代码执行（RCE）和其他缺陷，但利用这些缺陷中的大多数需要攻击者在站点上以一定的权限进行身份验证。

我们敦促网店店主尽快将其电子商务网站升级到最近修补过的版本，以免黑客开始利用该漏洞破坏您的网站并窃取客户的支付卡详细信息。