ทีมรักษาความปลอดภัยของ Magento พบช่องโหว่บน Magento Commerce ช่องโหว่นี้จะช่วยให้แฮกเกอร์โหลดข้อมูลที่เป็นอันตรายลงบนเว็บ และสั่งรันโค้ดจากระยะไกลได้
ช่องโหว่นี้มีผลกระทบกับ Magento Commerce 2.3.1, Magento Commerce 2.3.2 และ Page Builder เวอร์ชั่นที่ไม่ได้รับการ Support อย่างเช่น Page Builder Beta
หมายเลขช่องโหว่คือ CVE-2019-8144
ดังนั้น เพื่อเป็นการป้องกันแนะนำให้ผู้ใช้ทำการอัปเดตด่วน โดยผู้ใช้ Magento 2.3.1ให้ติดตั้ง MDVA-22979_EE_2.3.1_v1 จากนั้นให้อัพเกรดเวอร์ชั่นเป็น 2.3.3 หรือ 2.3.2-p2
ส่วนผู้ใช้ Magento 2.3.2 ให้ติดตั้ง MDVA-22979_EE_2.3.2_v1 จากนั้นอัพเกรดเวอร์ชั่นเป็น 2.3.3 หรือ 2.3.2-p2
แต่อย่างไรก็ตามทางทีมของ Magento ออกมากล่าวว่า “การอัปเดตนี้อาจส่งผลกระทบทำให้แอดมินไม่สามารถดูสินค้า, blocks, และ dynamic blocks
อันที่จริงการโจมตีเว็บที่ใช้ Magento มีมาอย่างต่อเนื่อง และได้ขยายวงออกไปโจมตี OpenCart, PrismWeb, และ OSCommerce-powered รวมไปถึงร้านค้าออนไลน์ต่างๆ
จากรายงานของ RiskIQ’s Magecart report ที่เผยแพร่เมื่อเดือนตุลาคมที่ผ่านมาพบว่า มีการโจมตีจาก Magecart ทั้งหมด 2,086,529 ครั้ง
ที่มา: Bleeping Computer