Magento Kritis Kerentanan Injeksi SQL Ditemukan - Menambal Situs Anda - Otak Kita

Magento Kritis Kerentanan Injeksi SQL Ditemukan - Menambal Situs Anda


OtakKita - Jika bisnis e-commerce online Anda berjalan di atas platform Magento, Anda harus memperhatikan informasi ini.

Magento kemarin merilis versi baru dari perangkat lunak manajemen konten untuk mengatasi 37 kerentanan keamanan yang baru ditemukan.

Dimiliki oleh Adobe sejak pertengahan 2018, Magento adalah salah satu platform sistem manajemen konten (CMS) paling populer yang menggerakkan 28% situs web di Internet dengan lebih dari 250.000 pedagang menggunakan platform e-commerce open source.

Meskipun sebagian besar masalah yang dilaporkan hanya dapat dieksploitasi oleh pengguna terotentikasi, salah satu kelemahan paling parah di Magento adalah kerentanan SQL Injection yang dapat dieksploitasi oleh penyerang jarak jauh yang tidak terauthentikasi.

Cacat, yang tidak memiliki ID CVE tetapi secara internal berlabel "PRODSECBUG-2198," dapat memungkinkan peretas jarak jauh untuk mencuri informasi sensitif dari basis data situs web e-commerce yang rentan, termasuk sesi admin atau hash kata sandi yang dapat memberikan peretas akses ke peretas. dasbor admin.

Versi Magento yang terpengaruh meliputi:

  •     Magento Open Source sebelum 1.9.4.1
  •     Magento Commerce sebelum 1.14.4.1
  •     Magento Commerce 2.1 sebelum 2.1.17
  •     Magento Commerce 2.2 sebelum 2.2.8
  •     Magento Commerce 2.3 sebelum 2.3.1


Karena situs Magento tidak hanya menyimpan informasi pengguna tetapi juga berisi riwayat pesanan dan informasi keuangan pelanggan mereka, cacat tersebut dapat menyebabkan serangan online yang dahsyat.

Mengingat sifat sensitif data yang ditangani situs web e-commerce Magento setiap hari serta risiko yang ditimbulkan kerentanan SQL, pengembang Magento memutuskan untuk tidak merilis detail teknis dari cacat tersebut.

Selain kerentanan SQLi, Magento juga telah menambal pemalsuan permintaan lintas situs (CSRF), skrip lintas situs (XSS), eksekusi kode jarak jauh (RCE) dan kelemahan lainnya, tetapi eksploitasi sebagian besar kelemahan tersebut mengharuskan penyerang diotentikasi pada situs dengan beberapa tingkat hak istimewa.

Pemilik toko online didesak untuk meningkatkan situs web e-commerce mereka ke versi yang baru-baru ini ditambal sesegera mungkin sebelum peretas mulai mengeksploitasi kelemahan untuk mengkompromikan situs web Anda dan mencuri detail kartu pembayaran pelanggan Anda.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel