首頁 > 安全研究 > 安全通報 > 安全通告

Magento Core中的SQL注入等多個漏洞安全通告

發布時間 2019-04-01

漏洞編號和級別


CVE編號:暫無,危險級別:高危, CVSS分值:廠商自評:8.8,官方未評定


影響版本:


Magento Commerce2.3,2.2和Magento Open Source2.1


漏洞概述


Magento是一套專業開源的電子商務系統。Magento設計得非常靈活,具有模塊化架構體系和豐富的功能。其面向企業級應用,可處理各方面的需求,以及建設一個多種用途和適用面的電子商務網站。包括購物、航運、產品評論等等,充分利用開源的特性,提供代碼庫的開發,非常規范的標準,易于與第三方應用系統無縫集成。


Magento發布了一系列更新,包括Magento Commerce2.3.1,2.2.8和Magento Open Source2.1.17 以修復其平臺中的多個安全漏洞。更新解決的一個關鍵漏洞是SQL注入漏洞,該漏洞可能允許攻擊者執行惡意代碼,并從基于Magento的網站使用的數據庫中獲取敏感信息。其他漏洞包括遠程代碼執行、跨站腳本編寫、權限提升、跨站請求偽造以及信息泄露漏洞。
Magento在國內的情況如下圖:



漏洞利用:


SQL注入漏洞EXP: https://cxsecurity.com/issue/WLB-2019030247。


修復建議


建議Magento用戶盡快更新到最新版本:Magento Commerce2.3.1,2.2.8和Magento Open Source2.1.17:https://magento.com/security/patches/magento-2.3.1-2.2.8-and-2.1.17-security-update。


參考鏈接


https://blog.sucuri.net/2019/03/sql-injection-in-magento-core.html
https://cxsecurity.com/issue/WLB-2019030247
https://magento.com/security/patches/magento-2.3.1-2.2.8-and-2.1.17-security-update


上一篇 下一篇