เมื่อวันพฤหัสบดีที่ผ่านมา Magento ได้ออกแพตช์อัพเดท เพื่ออุดช่องโหว่ 37 รายการ ช่องโหว่นี้มีผลกระทบกับ Magento versions ดังต่อไปนี้: Magento Open Source ตั้งเวอร์ชั่น 1.9.4.1ลงไป, Magento Commerce ตั้งแต่เวอร์ชั่น 1.14.4.1 ลงไป, Magento Commerce 2.1 ตั้งแตเวอร์ชี่น 2.1.17 ลงไป, Magento Commerce 2.2 ตั้งแต่เวอร์ชั่น 2.2.8 ลงไป และ Magento Commerce 2.3 ตั้งแต่เวอร์ชั่น 2.3.1 ลงไป
สำหรับช่องโหว่ที่สำคัญเป็นช่องโหว่ที่ทำให้แฮกเกอร์สามารถทำการโจมตีแบบ cross-site scripting (XSS) แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้เข้ายึดเว็บไซต์ และสร้างบัญชีแอดมินใหม่ได้
นอกจากช่องโหว่ cross-site scripting (XSS) ช่องโหว่ที่ได้รับการแก้ไขอีกซึ่งได้แก่ ช่องโหว่ SQL Injection ช่องโหว่นี้ไม่มีหมายเลขช่องโหว่แต่มีชื่อว่า “PRODSECBUG-2198” ช่องโหว่ remote code execution (RCE) และช่องโหว่อื่นๆ อีกด้วย
ในตอนนี้แนะนำให้เจ้าของเว็บทำการอัพเดทให้เป็นเวอร์ชั่นล่าสุด โดยสามารถทำการอัพเดทได้ที่ Magento 2.3.1, 2.2.8 and 2.1.17 Security Update
ส่วนหากต้องการดูรายละเอียดเกี่ยวกับช่องโหว่ต่างๆ สามารถดูได้ที่ AMBIONICS SECURITY
ที่มา : The Hacker News, Threat Post