Lỗ hổng nghiêm trọng trong Magento ảnh hưởng đến hàng triệu website thương mại điện tử

Nếu bạn đang sử dụng hệ thống quản trị nội dung Magento cho website thương mại điện tử của mình, bạn cần cập nhật ngay !

Hàng triệu khách hàng là các doanh nghiệp, nhà bán lẻ đang có nguy cơ bị tấn công thông qua các lỗ hổng trên Magento – nền tảng thương mại điện tử của eBay. Gần như toàn bộ các phiên bản Magento Community Edition 1.9.2.2 trở xuống cũng như phiên bản Enterprise Edition 1.14.2.2 trở xuống đều chứa lỗ hổng Stored  Cross-Site Scripting (XSS).

Lỗ hổng stored XSS cho phép tin tặc:

• Chiếm quyền kiểm soát cửa hàng trực tuyến
• Leo thang quyền người dùng
• Lấy dữ liệu của khách hàng
• Đánh cắp thông tin thẻ tín dụng
• Kiểm soát website thông qua tài khoản quản trị viên

Tuy nhiên, tin tốt là các lỗ hổng này đã được vá, bản cập nhật đã được phát hành ngay sau khi công ty bảo mật Sucuri phát hiện và báo cáo riêng đến eBay.

Lỗ hổng XSS có thể bị khai thác khá dễ dàng. Tất cả những gì tin tặc cần làm là nhúng code JavaScript độc hại vào phần điền địa chỉ email trong form đăng kí khách hàng. Magento sẽ thực thị thông tin phần email chứa mã độc, khiến chúng có thể đánh cắp phiên làm việc quản trị viên và hoàn toàn kiểm soát máy chủ.

Để ngăn chặn website bị khai thác, quản trị viên cần cập nhật bản vá mới nhất SUPEE-7405  càng sớm càng tốt .

THN