資安業者Sansec提出警告,他們看到有人使用新型態的手法,於資料庫裡加入偽造的版面(Layout )範本,從而在Magento電子商城自動注入惡意程式,以便持續對受害網站發動攻擊。
研究人員指出,攻擊者同時濫用Magento的版面解析器與beberlei/assert套件,從而能夠於伺服器上執行系統層級的命令。由於版面區塊與結帳車功能相連,因此只要收到<store>/checkout/cart的請求,就會觸發攻擊者的命令。他們看到攻擊者使用sed命令,於CMS控制器自動加入後門程式並執行。
此外,他們還看到攻擊者注入冒牌的Stripe支付側錄器,盜取付款資料的情況。
上述被利用的Magento弱點,被登記為CVE-2024-20720列管,CVSS風險評為9.1分。Adobe於2月13日發布新版Adobe Commerce、Magento Open Source予以修補,研究人員呼籲IT人員應儘速套用相關更新。
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-25
2024-11-15
2024-11-15
Advertisement