野草2023新地扯一二在线观看_戍人电影高清完整版_伊犁园2024直达无跳转入口

当前位置:首页 > 网络与安全 > 安全知识 >  正文

黑客利用 Magento 漏洞窃取电子商务网站支付数据

86992024-04-10

威胁行为者被发现利用 Magento 的一个严重缺陷向电子商务网站注入持久后门。

该攻击利用了CVE-2024-20720(CVSS 评分:9.1),Adobe 将其描述为“特殊元素的不当中和”案例,可能为任意代码执行铺平道路。

该公司在 2024 年 2 月 13 日发布的安全更新中解决了这个问题。

Sansec 表示,它在数据库中发现了一个“精心设计的布局模板”,该模板被用来自动注入恶意代码以执行任意命令。

该公司表示:“攻击者将 Magento 布局解析器与 beberlei/assert 包(默认安装)结合起来执行系统命令。 ”

“由于布局块与结帐车相关联,因此每当请求 <store>/checkout/cart 时都会执行此命令。”

有问题的命令是sed,它用于插入一个代码执行后门,然后负责提供 Stripe支付浏览器以捕获财务信息并将其泄露到另一个受感染的 Magento 商店。

这一进展正值俄罗斯政府对 6 人提出指控,指控他们至少自 2017 年底以来使用 skimmer 恶意软件窃取外国电子商务商店的信用卡和支付信息。

嫌疑人是丹尼斯·普里马琴科、亚历山大·阿塞耶夫、亚历山大·巴索夫、德米特里·科尔帕科夫、弗拉迪斯拉夫·帕图克和安东·托尔马乔夫。 《未来新闻记录》援引法庭文件报道称,逮捕行动是一年前进行的。

俄罗斯联邦总检察长办公室表示:“结果,该黑客组织成员非法掌握了近 16 万张外国公民支付卡的信息,然后通过影子互联网网站出售这些信息。”

 

转载出处:https://thehackernews.com/2024/04/hackers-exploit-magento-bug-to-steal.html

陆丰市| 金阳县| 庄河市| 镇雄县| 新乡市| 吴川市| 灵宝市| 额济纳旗| 游戏| 深水埗区|