Magento Core中的SQL注入等多个漏洞安全通告
发布时间 2019-04-01漏洞编号和级别
CVE编号:暂无,危险级别:高危, CVSS分值:厂商自评:8.8,官方未评定
影响版本:
Magento Commerce2.3,2.2和Magento Open Source2.1
漏洞概述
Magento是一套专业开源的电子商务系统。Magento设计得非常灵活,具有模块化架构体系和丰富的功能。其面向企业级应用,可处理各方面的需求,以及建设一个多种用途和适用面的电子商务网站。包括购物、航运、产品评论等等,充分利用开源的特性,提供代码库的开发,非常规范的标准,易于与第三方应用系统无缝集成。
Magento发布了一系列更新,包括Magento Commerce2.3.1,2.2.8和Magento Open Source2.1.17 以修复其平台中的多个安全漏洞。更新解决的一个关键漏洞是SQL注入漏洞,该漏洞可能允许攻击者执行恶意代码,并从基于Magento的网站使用的数据库中获取敏感信息。其他漏洞包括远程代码执行、跨站脚本编写、权限提升、跨站请求伪造以及信息泄露漏洞。
Magento在国内的情况如下图:
漏洞利用:
SQL注入漏洞EXP: https://cxsecurity.com/issue/WLB-2019030247。
修复建议
建议Magento用户尽快更新到最新版本:Magento Commerce2.3.1,2.2.8和Magento Open Source2.1.17:https://magento.com/security/patches/magento-2.3.1-2.2.8-and-2.1.17-security-update。
参考链接
https://blog.sucuri.net/2019/03/sql-injection-in-magento-core.html
https://cxsecurity.com/issue/WLB-2019030247
https://magento.com/security/patches/magento-2.3.1-2.2.8-and-2.1.17-security-update
京公网安备11010802024551号