电子商务软件Magento修复了代码执行漏洞

著名电子商务软件Magento近期发布了针对所有平台的安全更新，修复了多个漏洞。其中某些高危漏洞可让黑客执行任意代码。

此次安全漏洞主要影响了Magento Commerce（2.3.3/2.2.10及以下）、开源版本（2.3.3/2.2.10及以下）、企业版本（1.14.4.3及以上）和社区版本（1.9.4.3及以上）。现在每个版本均有了新版本。

严重性

此次更新修复了6个漏洞，其中一半被评为严重，其余的都被标记为重要。

两个严重漏洞分别为不可信数据被反序列化（CVE-2020-3716）和安全验证绕过（CVE-2020-3718），两者都会导致任意代码执行。

第三个是SQL注入（CVE-2020-3719），可导致敏感信息泄露。

对于另外三个严重漏洞（两个存储型跨站脚本和一个路径遍历），黑客可利用它们获取敏感信息，辅助进行下一步攻击。

目前修复后的Magento 2.3.4可供下载，建议管理员立即安装。不过目前还没有利用这些漏洞进行攻击的痕迹。

Magento商店经常被黑客利用已知的漏洞攻击并植入恶意JS代码，目的是为了从付款表单中窃取支付卡数据和敏感客户信息。

这些窃取金钱信息的攻击被称为MageCart，因为它们最初的目标正是运行Magento的网站。目前已有多个网络犯罪组织参与了这一攻击浪潮，袭击了数十万家商店。

最近，在国际刑警组织和网络安全公司Group-IB的帮助下，印尼警方逮捕了三名涉嫌实施MageCart攻击的黑客。

而从这个版本开始，Magento的漏洞将由Adobe进行整理公开，该公司于2018年年中完成了对Magento平台的收购。

目前Magento的更新不仅仅解决的是安全漏洞，还增强了页面构建功能、与Adobe Stock的集成、与基于PWA Studio商店的兼容性以及多处体验改善。完整介绍可在Magento网站上找到。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.bleepingcomputer.com/news/security/magento-234-fixes-critical-code-execution-vulnerabilities/