不安全的模块为攻击者劫持了付款打开大门
安全研究人员已经开发了概念验证攻击,该攻击利用了涉及广泛使用的电子商务平台Magento插件的最近修补的漏洞。
Cardgate Payments插件中缺乏原点身份验证,使攻击者可以更改插件设置,例如商户ID或秘密密钥,以劫持付款过程。
这CVE-2020-8818漏洞使网络犯罪分子可以“通过手动发送具有有效签名但没有实际付款的IPN [即时付款通知]回调请求来“欺骗订单状态”。
成功的攻击还将允许欺诈者更改设置,以便将用于商人控制的帐户的付款路线路线。
幸运的是,基于PHP的漏洞是一周前2月19日修复的。
需要修补Cardgate付款插件,最高为2.0.30。Cardgate支付网关模块2.0.30还需要更新出于相同的原因。
Cardgate是位于荷兰的付款服务提供商。
据说该漏洞是源于在IPN回调处理功能中编码错误控制器/付款/callback.php。
通过概念证明,修复和修补工作已经得到了额外的紧迫性利用代码在星期六(2月22日)。
每日swbeplay2018官网ig邀请了Adobe拥有的Magento和Cardgate发表评论。我们将在提供更多信息时更新此故事。
