Magento商务系统曝远程代码执行漏洞 - APT防御产品

Magento商务系统曝远程代码执行漏洞

eBay投资的电子商务系统Magento在全球范围内一共有超过240000个商家,是广受赞誉的全球最优秀的电子商务系统。然而,一贯低调的Magento近期却“带着”会影响世界数万商家的远程代码执行漏洞(RCE)重新杀入了我们的视野。

No.1的电子商务系统:Magento

Magento (麦进斗) 是一套专业开源的电子商务系统。Magento设计得非常灵活,具有模块化架构体系和丰富的功能。易于与第三方应用系统无缝集成。其面向企业级应用,可处理各方面的需求,以及建设一个多种用途和适用面的电子商务网站。 包括购物、航运、产品评论等等,充分利用开源的特性,提供代码库的开发,非常规范的标准,易于与第三方应用系统无缝集成。

Magento 系统在规划之初就是一个着眼于全球的系统,多语言、多店铺架构、自动更新的汇率系统,后端内置100多种语言,预置了世界各地主流的税收方式,预置世界范围内主要的信用卡通道。在全球有大量开发者为其贡献了超过6000多个功能扩展。任何商家(包括B2B、B2B2C、营销联盟、代销、酒店预订等)想要的功能或者商业模式都可以在Magento 找到答案。

严重的RCE漏洞

黑客可以利用这个远程代码执行漏洞在危害任何一个采用Magento系统的线上商店,同时还能获得店家以及顾客的信用卡和其他相关金融信息。

Magento平台中的一系列严重漏洞最终允许未经授权的攻击者执行他们所选择的web服务器上的任意代码。

所有远程代码漏洞都出现在Magento平台核心代码,同时影响了使用Magento社区版和Magento企业版的默认安装。在web服务器上运行任意代码让攻击者能够绕过所有安全机制并且完全控制那些脆弱的在线商店以及全部数据库,同时攻击者可以偷盗信用卡以及获得管理访问权限。

最糟糕的部分

最令人不安的是,今年1月份安全研究机构Check Point研究团队发现并且发布的Magento需要修复列表。Magento没有任何迟疑地在2月9日发布了一个补丁(SUPEE-5344)。补丁已经发布两个月以来仍然有至少一半的Magento网站存安全威胁,特别这些网站都是商业网站。

Check Point在周一的博客上写到:

“我们发现的这个有重大威胁的漏洞不仅存在一个商店而是在所有使用了Magent平台的在线商店中,这就意味着大约有30%的电子商户存在该漏洞。”

快点去更新你的Magento补丁

一旦Magento电子商务平台被攻破,对于整个网上买家及卖家都会是巨大的灾难。因此,在线商店店主和管理员应立即更新应用补丁。


转载请注明出处 APT防御产品 » Magento商务系统曝远程代码执行漏洞

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址