電子商務平臺Magento漏洞遭到利用,駭客對其注入後門程式
· 2024-04-11

研究人員發現,攻擊者針對電子商務平臺Magento下手,利用2月該公司修補的漏洞發動攻擊,企圖讓惡意程式持續在網站上運作

資安業者Sansec提出警告,他們看到有人使用新型態的手法,於資料庫裡加入偽造的版面(Layout )範本,從而在Magento電子商城自動注入惡意程式,以便持續對受害網站發動攻擊。

研究人員指出,攻擊者同時濫用Magento的版面解析器與beberlei/assert套件,從而能夠於伺服器上執行系統層級的命令。由於版面區塊與結帳車功能相連,因此只要收到<store>/checkout/cart的請求,就會觸發攻擊者的命令。他們看到攻擊者使用sed命令,於CMS控制器自動加入後門程式並執行。

此外,他們還看到攻擊者注入冒牌的Stripe支付側錄器,盜取付款資料的情況。

上述被利用的Magento弱點,被登記為CVE-2024-20720列管,CVSS風險評為9.1分。Adobe於2月13日發布新版Adobe Commerce、Magento Open Source予以修補,研究人員呼籲IT人員應儘速套用相關更新。

熱門文章
英國確認各垂直行業的賭博稅稅率
合規與政策
橫跨全球6個城市,灰度8場派對邀你共看世界盃,重塑高質量社交新場景
灰度頭條
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
菲律賓博彩技術賽道迎來新變局,B2B 供應模式加速滲透
東南亞資訊
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
西班牙監管機構警告在線賭博平臺存在身份盜竊行為
合規與政策
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
越南在線博彩業政策收緊 催生市場新機遇
東南亞資訊
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
首頁
遊戲
合作
發現
我的