Nền tảng CMS Magento dính lỗ hổng bảo mật nghiêm trọng

Hàng triệu khách hàng là các doanh nghiệp, nhà bán lẻ đang có nguy cơ bị tấn công thông qua các lỗ hổng trên Magento – nền tảng thương mại điện tử của eBay. Gần như toàn bộ các phiên bản Magento Community Edition 1.9.2.2 trở xuống cũng như phiên bản Enterprise Edition 1.14.2.2 trở xuống đều chứa lỗ hổng Stored Cross-Site Scripting (XSS).

Nền tảng CMS Magento dính lỗ hổng bảo mật nghiêm trọng - Tạp Chí Designer Việt Nam
Nền tảng CMS Magento dính lỗ hổng bảo mật nghiêm trọng

Lỗ hổng stored XSS cho phép tin tặc:

  • Chiếm quyền kiểm soát cửa hàng trực tuyến
  • Leo thang quyền người dùng
  • Lấy dữ liệu của khách hàng
  • Đánh cắp thông tin thẻ tín dụng
  • Kiểm soát website thông qua tài khoản quản trị viên

Tuy nhiên, tin tốt là các lỗ hổng này đã được vá, bản cập nhật đã được phát hành ngay sau khi công ty bảo mật Sucuri phát hiện và báo cáo riêng đến eBay.

Lỗ hổng XSS có thể bị khai thác khá dễ dàng. Tất cả những gì tin tặc cần làm là nhúng code JavaScript độc hại vào phần điền địa chỉ email trong form đăng kí khách hàng. Magento sẽ thực thị thông tin phần email chứa mã độc, khiến chúng có thể đánh cắp phiên làm việc quản trị viên và hoàn toàn kiểm soát máy chủ.

Để ngăn chặn website bị khai thác, quản trị viên cần cập nhật bản vá mới nhất SUPEE-7405 càng sớm càng tốt .

Bạn cũng có thể thích Thêm từ tác giả

Chúng tôi đang chuyển sang sử dụng phiên bản mớiXem Ngay Tại izdesigner.org