Lỗ Hổng Nghiêm Trọng Magento SQL Injection, Fix Trang Web Của Bạn Ngay

Ngày đăng: 06/02/2023
Tác giả: Hostingviet
Lượt xem: 21
Theo dõi:

Magento không phổ biến ở phân khúc website Blog (tin tức, blog cá nhân) giống như wordpress. Nhưng đối với các website TMDT lớn thì Magento là số 1. Cũng từ lâu lắm rồi, Magento mới có lỗ hổng bảo mật lớn như lần này, Magento SQL Injection

Nếu doanh nghiệp của Bạn đang sử dụng website thương mại điện tử trực tuyến và đang chạy trên nền tảng Magento, bạn phải đọc bài này hoặc gửi cho đội IT ngay lập tức.

Magento đã phát hành (28/3/2019) phiên bản mới của phần mềm quản lý nội dung để giải quyết tổng cộng 37 lỗ hổng bảo mật mới được phát hiện.

Được sở hữu bởi Adobe từ giữa năm 2018, Magento là một trong những nền tảng hệ thống quản lý nội dung (CMS) phổ biến nhất cung cấp 28% trang web trên Internet với hơn 250.000 công ty sử dụng nền tảng thương mại điện tử nguồn mở.

Mặc dù hầu hết các vấn đề được báo cáo chỉ có thể được khai thác bởi người dùng đã được xác thực (Có user được phân quyền), một trong những lỗ hổng nghiêm trọng nhất trong Magento là lỗ hổng SQL Injection có thể bị khai thác bởi những kẻ tấn công từ xa không được xác thực.

Lỗ hổng không có ID CVE nhưng được gắn nhãn nội bộ "PRODSECBUG-2198" có thể cho phép tin tặc từ xa đánh cắp thông tin nhạy cảm từ cơ sở dữ liệu của các trang web thương mại điện tử dễ bị tấn công, bao gồm cả phiên quản trị viên hoặc "băm mật khẩu" có thể cấp cho tin tặc truy cập bảng điều khiển của quản trị viên.

Các phiên bản Magento bị ảnh hưởng bao gồm:
Mã nguồn mở Magento trước 1.9.4.1
Magento Commerce trước 1.14.4.1
Magento Commerce 2.1 trước 2.1.17
Magento Commerce 2.2 trước 2.2.8
Magento Commerce 2.3 trước 2.3.1

 

Chỉ cần Quý Khách đăng ký VPS / Server tại HostingViet, sẽ được miễn phí quản trị Server

HostingViet chính là nhân viên viên IT cần mẫn với trình độ chuyên môn cao, luôn luôn hỗ trợ 24/24 bao gồm cả ngày nghỉ, ngày lễ... với giá 0đ! Quý Khách đang lăn tăn về việc VPS cũ còn thời hạn? Hãy yên tâm, HostingViet hỗ trợ cộng thời hạn sử dụng còn lại của gói Host cũ
 
Với dịch vụ này, Quý Khách có thể yên tâm ngủ ngon, Server đã có HostingViet thức và quản lý 24/24 giúp quý khách :D!
Dưới đây là danh sách các công việc quản trị Server thường gặp:
  • Cài đặt tối ưu VPS
  • Cấu hình network
  • Cập nhập bản vá lỗi
  • Cấu hình bảo mật cho VPS/Server
  • Cài đặt các phần mềm và dịch vụ khác theo yêu cầu
  • Chuyển dữ liệu về VPS... (đọc thêm)
Quý Khách chưa tìm được thông tin? xin vui lòng chat trực tiếp với nhân viên tư vấn tại góc phải màn hình hoặc gọi số 02466-567-555 để được tư vấn trực tiếp

Vì các trang web Magento không chỉ lưu trữ thông tin của người dùng mà còn chứa lịch sử đặt hàng và thông tin tài chính của khách hàng, lỗ hổng này có thể dẫn đến các cuộc tấn công trực tuyến thảm khốc nhắm vào thẻ ngân hàng.

Magento SQL Injection

Do tính chất nhạy cảm của dữ liệu mà các trang web thương mại điện tử Magento xử lý hàng ngày cũng như rủi ro mà lỗ hổng SQL thể hiện, các nhà phát triển Magento đã quyết định không tiết lộ chi tiết kỹ thuật về lỗ hổng.

Bên cạnh lỗ hổng SQLi, Magento cũng đã vá lỗi giả mạo yêu cầu chéo trang (CSRF), kịch bản chéo trang (XSS), thực thi mã từ xa (RCE) và các lỗi khác, nhưng việc khai thác phần lớn các lỗ hổng đó yêu cầu kẻ tấn công phải được xác thực các trang web với một số mức độ đặc quyền.

Chủ các website trực tuyến được khuyến khích nâng cấp các trang web thương mại điện tử của họ lên các phiên bản được vá gần đây càng sớm càng tốt trước khi tin tặc bắt đầu khai thác lỗ hổng để thỏa hiệp trang web của bạn và đánh cắp thông tin thẻ thanh toán của khách hàng.

>>Bài viết nên xem: 

HostingViet tiên phong trong việc triển khai phần mềm diệt Virus có bản quyền trên Shared Hosting tại Việt Nam

Lỗ hổng bảo mật nghiêm trọng trên Apache, Hãy update ngay trước khi quá muộn

Cảnh báo về lỗ hổng bảo mật XSS cực kỳ nguy hiểm trong WordPress

Cấu hình bảo mật cho Server Linux không bị tấn công từ lỗi Memcached

Nhà cung cấp Tên Miền - Hostsing - VPS tốt nhất Việt Nam

Là đơn vị thuộc top 3 lĩnh vực dịch vụ lưu trữ website tại Việt Nam, Hostsing Việt được đánh giá là nhà cung cấp tên miền giá rẻ và Hostsing giá rẻ cũng như luôn nhận được nhiều lời giới thiệu từ diễn đàn tin học về nơi mua Hosts ở đâu tốt . Chỉ từ 50.000đ/tháng, người dùng đã có ngay cho mình một Hosts để thỏa sức học tập, nghiên cứu hoặc chạy demo website… Bên cạnh đó, Hostsing Việt còn là đơn vị luôn tiên phong trong công nghệ điện toán đám mây (cloud Hostsing),gói thuê server với băng thông khủng không giới hạn.
Hostsing Việt có đa dạng gói dịch vụ, bên cạnh những gói giá siêu rẻ 50.000đ/tháng, nhà cung cấp còn có những vps giá rẻ chất lượng dành cho nhiều nhóm doanh nghiệp khác nhau. Các gói này luôn đáp ứng đủ nhu cầu lưu trữ, truy cập hàng chục nghìn người mỗi ngày.
Ngoài ra, với dịch vụ chăm sóc khách hàng chuyên nghiệp, đội ngũ kỹ thuật viên có chuyên môn cao sẽ nhanh chóng hỗ trợ, xử lý các vấn đề phát sinh. Từ đó, giúp người dùng có được sự trải nghiệp mượt mà, thú vị.


Qua bài viết trên Hostsing Việt đã giúp bạn có thêm nhiều thông tin bổ ích! Hi vọng bạn sẽ có thể trang bị thêm thật nhiều kiến thức khác mà chúng tôi đã chia sẻ! Nếu thấy bài viết này hữu ích hãy subscribe để theo dõi những thông tin mới nhất từ Hostsing Việt nhé. Chúc các bạn thành công!

Theo thehackernews

Bài viết liên quan
 
 
2024/04/16

Thông Báo Phòng Chống Tấn Công Mạng Và Bảo Vệ An Toàn Dữ Liệu

Để chống tấn công mạng, bảo vệ an toàn dữ liệu cần lưu ý các điểm sau: 1. Cập nhật Hệ điều hành (Linux, windows, mac,...) l&ecir...
Tác giả:
Đọc thêm
 
 
2024/03/15

Thông báo Bảo trì Hệ thống mạng ngày 16/03/2024

Kính gửi Quý Khách hàng, Sau thời gian bảo trì hệ thống mạng cho dịch vụ Hosting/VPS vào lúc 23h00 ngày 16/0...
Tác giả:
Đọc thêm
 
 
2024/02/16

XUÂN PHÚ QUÝ - LÌ XÌ NHƯ Ý: HOÀN TIỀN 100% VÀO TÀI KHOẢN

1. Thời gian diễn ra chương trình Chương trình ưu đãi “Xuân Phú Quý - Lì xì Như Ý” diễn ...
Tác giả:
Đọc thêm
 
 
2024/01/22

Thông báo Bảo trì hệ thống Server Hosting cPanel ngày 23/01/2024

Kính gửi Quý Khách hàng, Sau quá trình bảo trì và nâng cấp hệ thống Server Hosting cPanel vào l...
Tác giả:
Đọc thêm
 
 
2023/02/06

THÔNG BÁO LỊCH NGHỈ TẾT NGUYÊN ĐÁN GIÁP THÌN 2024

Năm mới Giáp Thìn đang đến gần kề, HostingViet xin gửi lời cảm ơn chân thành nhất đến Quý Khách hàng, Quý Đối ...
Tác giả:
Đọc thêm
 
 
2023/12/04

XUÂN PHÚ QUÝ - LÌ XÌ NHƯ Ý: HOÀN TIỀN 100% VÀO TÀI KHOẢN

1. Thời gian diễn ra chương trình Chương trình ưu đãi “Xuân Phú Quý - Lì xì Như Ý” diễn ...
Tác giả:
Đọc thêm