Adobe在去年以16.8亿美元买下的电子商务平台Magento,本周呼吁用户应该要尽快部署安全更新,以避免黑客开采该平台上的一个远程程序攻击漏洞。
该安全漏洞编号为CVE-2019-8144,它允许未经授权的用户通过Page Builder于商家的网站上植入并执行恶意程序。
Magento为一以PHP撰写的开源电子商务平台,也是网络上最受欢迎的开源电商平台之一。根据CloudWays的统计,Magento现为全球第二大电子商务平台,市场占有率为12%,仅次于WooCommerce的18%,排名第三的Shopify则占了8%,估计全球约有25万个线上商店奠基在Magento上。
其实Magento早在今年10月就发布Magento 2.3.3、2.3.2-p1与2.2.10修补众多bug,其中即包含了CVE-2019-8144,且囊括商业版、合作伙伴版与开源版。然而本周Magento再度督促用户升级,主要原因是绝大多数的攻击程序都是锁定那些未部署安全更新的用户,才再度提醒并强烈建议用户更新。
除了呼吁尚未部署更新的用户升级之外,Magento也警告已更新的用户要全面检查网站的安全性,以确保它们没有在更新前受到危害,因为修补程序只能预防未来的攻击,并不能解决先前已被开采的问题。