資安業者Sansec提出警告，他們看到有人使用新型態的手法，於資料庫裡加入偽造的版面（Layout ）範本，從而在Magento電子商城自動注入惡意程式，以便持續對受害網站發動攻擊。

研究人員指出，攻擊者同時濫用Magento的版面解析器與beberlei/assert套件，從而能夠於伺服器上執行系統層級的命令。由於版面區塊與結帳車功能相連，因此只要收到<store>/checkout/cart的請求，就會觸發攻擊者的命令。他們看到攻擊者使用sed命令，於CMS控制器自動加入後門程式並執行。

此外，他們還看到攻擊者注入冒牌的Stripe支付側錄器，盜取付款資料的情況。

上述被利用的Magento弱點，被登記為CVE-2024-20720列管，CVSS風險評為9.1分。Adobe於2月13日發布新版Adobe Commerce、Magento Open Source予以修補，研究人員呼籲IT人員應儘速套用相關更新。