April 21, 2015 hotro@hostingviet.vn 02466.567.555       Giới thiệuTuyển dụng    Liên hệ   Đăng nhập   Đăng ký

Phát hiện lỗ hổng nghiêm trọng Magento SQL Injection, Vá trang web của bạn ngay bây giờ

Magento không phổ biến ở phân khúc website Blog (tin tức, blog cá nhân) giống như wordpress. Nhưng đối với các website TMDT lớn thì Magento là số 1. Cũng từ lâu lắm rồi, Magento mới có lỗ hổng bảo mật lớn như lần này, Magento SQL Injection

Nếu doanh nghiệp của Bạn đang sử dụng website thương mại điện tử trực tuyến và đang chạy trên nền tảng Magento, bạn phải đọc bài này hoặc gửi cho đội IT ngay lập tức.

Magento đã phát hành (28/3/2019) phiên bản mới của phần mềm quản lý nội dung để giải quyết tổng cộng 37 lỗ hổng bảo mật mới được phát hiện.

Được sở hữu bởi Adobe từ giữa năm 2018, Magento là một trong những nền tảng hệ thống quản lý nội dung (CMS) phổ biến nhất cung cấp 28% trang web trên Internet với hơn 250.000 công ty sử dụng nền tảng thương mại điện tử nguồn mở.

Mặc dù hầu hết các vấn đề được báo cáo chỉ có thể được khai thác bởi người dùng đã được xác thực (Có user được phân quyền), một trong những lỗ hổng nghiêm trọng nhất trong Magento là lỗ hổng SQL Injection có thể bị khai thác bởi những kẻ tấn công từ xa không được xác thực.

Lỗ hổng không có ID CVE nhưng được gắn nhãn nội bộ "PRODSECBUG-2198" có thể cho phép tin tặc từ xa đánh cắp thông tin nhạy cảm từ cơ sở dữ liệu của các trang web thương mại điện tử dễ bị tấn công, bao gồm cả phiên quản trị viên hoặc "băm mật khẩu" có thể cấp cho tin tặc truy cập bảng điều khiển của quản trị viên.

Các phiên bản Magento bị ảnh hưởng bao gồm:
Mã nguồn mở Magento trước 1.9.4.1
Magento Commerce trước 1.14.4.1
Magento Commerce 2.1 trước 2.1.17
Magento Commerce 2.2 trước 2.2.8
Magento Commerce 2.3 trước 2.3.1

Chỉ cần Quý Khách đăng ký VPS / Server tại HostingViet, sẽ được miễn phí quản trị Server

HostingViet chính là nhân viên viên IT cần mẫn với trình độ chuyên môn cao, luôn luôn hỗ trợ 24/24 bao gồm cả ngày nghỉ, ngày lễ... với giá 0đ! Quý Khách đang lăn tăn về việc VPS cũ còn thời hạn? Hãy yên tâm, HostingViet hỗ trợ cộng thời hạn sử dụng còn lại của gói Host cũ
Với dịch vụ này, Quý Khách có thể yên tâm ngủ ngon, Server đã có HostingViet thức và quản lý 24/24 giúp quý khách :D!
Dưới đây là danh sách các công việc quản trị Server thường gặp:
  • Cài đặt tối ưu VPS
  • Cấu hình network
  • Cập nhập bản vá lỗi
  • Cấu hình bảo mật cho VPS/Server
  • Cài đặt các phần mềm và dịch vụ khác theo yêu cầu
  • Chuyển dữ liệu về VPS... (đọc thêm)
Quý Khách chưa tìm được thông tin? xin vui lòng chat trực tiếp với nhân viên tư vấn tại góc phải màn hình hoặc gọi số 02466-567-555 để được tư vấn trực tiếp

Vì các trang web Magento không chỉ lưu trữ thông tin của người dùng mà còn chứa lịch sử đặt hàng và thông tin tài chính của khách hàng, lỗ hổng này có thể dẫn đến các cuộc tấn công trực tuyến thảm khốc nhắm vào thẻ ngân hàng.

Magento SQL Injection

Do tính chất nhạy cảm của dữ liệu mà các trang web thương mại điện tử Magento xử lý hàng ngày cũng như rủi ro mà lỗ hổng SQL thể hiện, các nhà phát triển Magento đã quyết định không tiết lộ chi tiết kỹ thuật về lỗ hổng.

Bên cạnh lỗ hổng SQLi, Magento cũng đã vá lỗi giả mạo yêu cầu chéo trang (CSRF), kịch bản chéo trang (XSS), thực thi mã từ xa (RCE) và các lỗi khác, nhưng việc khai thác phần lớn các lỗ hổng đó yêu cầu kẻ tấn công phải được xác thực các trang web với một số mức độ đặc quyền.

Chủ các website trực tuyến được khuyến khích nâng cấp các trang web thương mại điện tử của họ lên các phiên bản được vá gần đây càng sớm càng tốt trước khi tin tặc bắt đầu khai thác lỗ hổng để thỏa hiệp trang web của bạn và đánh cắp thông tin thẻ thanh toán của khách hàng.

Đọc thêm: 

HostingViet tiên phong trong việc triển khai phần mềm diệt Virus có bản quyền trên Shared Hosting tại Việt Nam

Lỗ hổng bảo mật nghiêm trọng trên Apache, Hãy update ngay trước khi quá muộn

Cảnh báo về lỗ hổng bảo mật XSS cực kỳ nguy hiểm trong WordPress

Cấu hình bảo mật cho Server Linux không bị tấn công từ lỗi Memcached

Theo thehackernews