ព័ត៌មាន

ការរកឃើញភាពងាយរងគ្រោះ SQL Injection សំខាន់សម្រាប់ Magento SQL

ប្រសិនបើអាជីវកម្មអេឡិកត្រូនិកលើអ៊ីនធឺណែតរបស់អ្នកកំពុងដំណើរការលើវេទិកា Magento អ្នកត្រូវតែយកចិត្តទុកដាក់ចំពោះព័ត៌មាននេះ។ក្រុមហ៊ុន Magento កាលពីម្សិលមិញចេញផ្សាយកំណែថ្មីនៃកម្មវិធីគ្រប់គ្រងមាតិការបស់ខ្លួនដើម្បីដោះស្រាយភាពងាយរងគ្រោះសុវត្ថិភាពថ្មីដែលរកឃើញថ្មីៗចំនួន ៣៧ ។

 image

ជាកម្មសិទ្ធរបស់ Adobe ចាប់ពីពាក់កណ្ដាលឆ្នាំ២០១៨ Magento គឺជាប្រព័ន្ធគ្រប់គ្រងមាតិកា (CMS) ដ៏ពេញនិយមបំផុតដែលផ្តល់ ២៨% នៃគេហទំព័រទូទាំងអ៊ីនធឺណិតដែលមានឈ្មួញជាង ២៥0.000 នាក់ប្រើប្រាស់វេទិកាពាណិជ្ជកម្មអេឡិចត្រូនិច។ទោះបីជាបញ្ហាដែលរាយការណ៍ភាគច្រើនអាចត្រូវធ្វើអាជីវកម្មដោយអ្នកប្រើដែលផ្ទៀងផ្ទាត់ក៏ដោយ គុណវិបត្តិធ្ងន់ធ្ងរបំផុតមួយនៅក្នុង Magento គឺភាពងាយរងគ្រោះ SQL Injection ដែលអាចត្រូវទាញយកដោយអ្នកវាយប្រហារពីចម្ងាយដែលមិនផ្ទៀងផ្ទាត់។

image

កំហុសដែលមិនមានលេខសម្គាល់ CVE ប៉ុន្តែមានឈ្មោះថា “PRODSECBUG-២១៩៨” អាចអនុញ្ញាតឱ្យពួក Hacker ពីចម្ងាយលួចយកព័ត៌មានរសើបពីមូលដ្ឋានទិន្នន័យនៃគេហទំព័រពាណិជ្ជកម្មអេឡិចត្រូនិកដែលរួមមានវគ្គគ្រប់គ្រង ឬពាក្យសម្ងាត់ដែលអាចផ្តល់សិទ្ធិចូលដល់ពួក Hackerដើម្បីចូលផ្ទាំងគ្រប់គ្រងរបស់អ្នកគ្រប់គ្រង។

កំណែ Magento ដែលទទួលរងផលប៉ះពាល់រួមមាន:

  • Magento Open Source prior to 1.9.4.1

  • Magento Commerce prior to 1.14.4.1

  • Magento Commerce 2.1 prior to 2.1.17

  • Magento Commerce 2.2 prior to 2.2.8

  • Magento Commerce 2.3 prior to 2.3.1

ចាប់តាំងពីគេហទំព័រ Magento មិនត្រឹមតែផ្ទុកព័ត៌មានរបស់អ្នកប្រើប៉ុណ្ណោះទេ ប៉ុន្តែក៏មានប្រវត្តិនៃការបញ្ជាទិញនិងព័ត៌មានហិរញ្ញវត្ថុរបស់អតិថិជនរបស់ពួកគេ កំហុសអាចនាំឱ្យមានការវាយប្រហារលើអ៊ីនធឺណិត។ដោយសារតែទិន្នន័យរសើបនៃទិនានុប្បវត្តិទីផ្សារអេឡិចត្រូនិក Magento គ្រប់គ្រងលើមូលដ្ឋានប្រចាំថ្ងៃក៏ដូចជាហានិភ័យដែល SQL ងាយរងគ្រោះតំណាង អ្នកអភិវឌ្ឍន៍ Magento សម្រេចចិត្តមិនឱ្យចេញផ្សាយព័ត៌មានលម្អិតបច្ចេកទេសនៃកំហុសទេ។

ក្រៅពីភាពងាយរងគ្រោះរបស់SQLi Magentoក៏ធ្វើការកែតម្រូវការស្នើសុំឆ្លងតំបន់បណ្តាញ (CSRF) ស្គ្រីបឆ្លងតំបន់បណ្តាញ (XSS) ការអនុវត្តកូដពីចម្ងាយ (RCE) និងគុណវិបត្តិផ្សេងទៀត ប៉ុន្តែការកេងប្រវ័ញ្ចលើគុណវិបត្តិទាំងនោះភាគច្រើនទាមទារឱ្យអ្នកវាយប្រហារត្រូវផ្ទៀងផ្ទាត់លើតំបន់បណ្តាញជាមួយនឹងកម្រិតមួយចំនួននៃសិទ្ធិ។ម្ចាស់ហាងតាមអ៊ីនធឺណិតត្រូវជំរុញអោយតំឡើងគេហទំព័រពាណិជ្ជកម្មអេឡិចត្រូនិចរបស់ពួកគេទៅកំណែបោកបញ្ឆោតថ្មីៗនេះដែលអាចធ្វើទៅមុនពេលពួក Hacker ចាប់ផ្តើមធ្វើអាជីវកម្មនូវកំហុសឆ្គងដើម្បីសម្របសម្រួលគេហទំព័ររបស់អ្នកនិងលួចយកព័ត៌មានលម្អិតនៃការបង់ប្រាក់របស់អតិថិជនរបស់អ្នក។