beplay体育能用吗Web Admins敦促与Magecart网络犯罪小组更新
更新Adobe在其流行的电子商务平台Magento中修补了多个严重缺陷,以防止潜在的任意代码执行攻击。
一种安全公告该软件巨头于周二(1月28日)发行,为Magento的商业,开源,企业和社区版本提供了六个漏洞(其中三个至关重要)的修复程序。
应用补丁很重要,因为支付卡撇渣了Magecart小组可能会试图利用在接下来的几周和几个月中尚未被捕获的任何系统。
攻击者可以通过针对两个关键缺陷来可能执行恶意代码 - 与安全旁路有关(CVE-2020-3718) 和避免不信任数据(CVE-2020-3716)。
Magecart攻击者也可以利用SQL注入利用利用第三个关键错误(CVE-2020-3719)并获得对包含付款卡信息的数据库的阅读访问权限。
Magecart组这是第三方电子商务平台上的滥用缺陷,以在结帐页面上注入恶意的JavaScript,还可以通过安装来窃取支付卡数据跨站脚本((XSS)攻击。
XSS缺陷占三个修补漏洞中的两个(CVE-2020-3715和CVE-2020-3758)由Adobe归类为“重要”,其余缺陷(CVE-2020-3717)通过路径遍历攻击。
beplay体育能用吗建议网站管理员迅速将Magento Commerce Build更新为2.3.4或2.2.11版本,开源版本为2.3.4或2.2.11,企业版本为1.14.4.4,并将社区版本和1.9.4.4。
Adobe已将所有六个补丁分配给“优先级2”评级,这意味着不会预期攻击,并且管理员应在30天内应用更新。
Adobe感谢四位研究人员 - Ernesto Martin,Blaklis,Luke Rodgers和Djordje Marjanovic-发现和报告了这些漏洞。
Magento在包括耐克,思科和Unipart在内的数千个网站上的电子商务结帐。beplay体育能用吗
一个发现了三个漏洞的研究人员,Blaklis, 告诉每日swbeplay2018官网ig需要授予攻击者“某些管理访问 - 主要是电子邮件模板,页面和产品创建 - 才能在基础系统上执行任意命令。”
他们说:“考虑到它是经过身份验证的缺陷,重要的是要应用这些斑块。”
Blaklis补充说,大约三个月前,漏洞负责任地向Magento披露。
他们说:“虽然可以通过其Hackerone计划轻松地与Magento团队联系,但更新的季度时间表使等待补丁程序要花一些时间。”
每日swbeplay2018官网ig已联系Magento以了解更多信息。
本文已更新了研究人员Blaklis的评论。
