Photo by Jilbert Ebrahimi on Unsplash

Adobe在去年以16.8億美元買下的電子商務平台Magento,本周呼籲用戶應該要儘速部署安全更新,以避免駭客開採該平台上的一個遠端程式攻擊漏洞。

此一安全漏洞編號為CVE-2019-8144,它允許未經授權的使用者透過Page Builder於商家的網站上植入並執行惡意程式。

Magento為一以PHP撰寫的開源電子商務平台,也是網路上最受歡迎的開源電商平台之一。根據CloudWays的統計,Magento現為全球第二大電子商務平台,市占率為12%,僅次於WooCommerce的18%,排名第三的Shopify則占了8%,估計全球約有25萬個線上商店奠基在Magento上。

其實Magento早在今年10月就釋出Magento 2.3.3、2.3.2-p1與2.2.10修補眾多臭蟲,當中即包含了CVE-2019-8144,且囊括商業版、合作夥伴版與開源版。然而本周Magento再度督促用戶升級,主要原因是絕大多數的攻擊程式都是鎖定那些未部署安全更新的用戶,才再度提醒並強烈建議用戶更新。

除了呼籲尚未部署更新的用戶升級之外,Magento也警告已更新的用戶要全面檢查網站的安全性,以確保它們沒有在更新前受到危害,因為修補程式只能預防未來的攻擊,並不能解決先前已被開採的問題。


Advertisement

更多 iThome相關內容