修补两个缺陷 - 一个是关键 - 是Magento 1的最终安全更新
Magento敦促Magento Commerce 1和Magento开源1电子商务平台的用户在发现两个安全性后应用最新更新漏洞。
最严重的关键缺陷是PHP对象注入错误,可能导致任意代码执行。
被评为“重要”,其他漏洞是一个存储的跨站点脚本(XS)缺陷,如果利用,可能会触发敏感信息的披露。
这两个缺陷都需要管理特权才能执行。
“相对容易利用”
“ PHP对象注入错误是与如何处理输入有关的问题,在这种情况下,(本质上)PHP代码将使服务器执行它。” Piskiq威胁研究负责人Yonathan Klijnsma告诉每日swbeplay2018官网ig。
“它使攻击者能够在服务器上运行PHP代码,这意味着它们将具有广泛的访问权限,因此为什么将其归类为关键漏洞。
“在WordPress等平台中也发生了类似的漏洞,并归结为输入的序列化如何 - 在许多情况下,这些漏洞相对容易利用。”
在一个安全咨询Adobe于周一(6月22日)发布,表示更新将是受影响的发行线的最终安全补丁,因为它阻止了2020年6月的Magento 1的支持。
这双漏洞都存在于Magento Commerce 1(以前是Magento Enterprise Edition)和Magento开源1(以前的Magento Community Edition)中的所有版本中,直至1.14.4.5。
最新版本的Magento Commerce 1可以从内部下载用户帐户,而Magento开源1可以从开源下载页面。
Adobe感谢卢克·罗杰斯(Luke Rodgers)报告的安全缺陷。
“过渡计划”
在另一个博客文章这家软件巨头于周三(6月24日)出版:“我们一直在与客户,合作伙伴和开发人员密切合作,通过Magento 1 [寿命终止]时间表进行过渡计划。”
2018年9月宣布了对12岁发行线退休支持的决定。
推荐的MageCart:单个撇渣案如何演变成广泛的信用卡盗窃案
根据Adobe的说法,“成千上万的商人”已经迁移到Magento 2,据说这更容易维护和支持。
建议尚未迁移的商人尽快做。
Adobe说:“如果您需要快速推出Mbeplay维护得多久agento Commerce 2商店的快速解决方案,请联系您的Magento客户成功经理。”
在6月30日终止日期之后,在线商店继续在Magento 1上运行的零售商“将增加对维护其网站的安全性和PCI DSS合规性的责任”。
