ប្រសិនបើអាជីវកម្មអេឡិកត្រូនិកលើអ៊ីនធឺណែតរបស់អ្នកកំពុងដំណើរការលើវេទិកា Magento អ្នកត្រូវតែយកចិត្តទុកដាក់ចំពោះព័ត៌មាននេះ។ក្រុមហ៊ុន Magento កាលពីម្សិលមិញចេញផ្សាយកំណែថ្មីនៃកម្មវិធីគ្រប់គ្រងមាតិការបស់ខ្លួនដើម្បីដោះស្រាយភាពងាយរងគ្រោះសុវត្ថិភាពថ្មីដែលរកឃើញថ្មីៗចំនួន ៣៧ ។
ជាកម្មសិទ្ធរបស់ Adobe ចាប់ពីពាក់កណ្ដាលឆ្នាំ២០១៨ Magento គឺជាប្រព័ន្ធគ្រប់គ្រងមាតិកា (CMS) ដ៏ពេញនិយមបំផុតដែលផ្តល់ ២៨% នៃគេហទំព័រទូទាំងអ៊ីនធឺណិតដែលមានឈ្មួញជាង ២៥0.000 នាក់ប្រើប្រាស់វេទិកាពាណិជ្ជកម្មអេឡិចត្រូនិច។ទោះបីជាបញ្ហាដែលរាយការណ៍ភាគច្រើនអាចត្រូវធ្វើអាជីវកម្មដោយអ្នកប្រើដែលផ្ទៀងផ្ទាត់ក៏ដោយ គុណវិបត្តិធ្ងន់ធ្ងរបំផុតមួយនៅក្នុង Magento គឺភាពងាយរងគ្រោះ SQL Injection ដែលអាចត្រូវទាញយកដោយអ្នកវាយប្រហារពីចម្ងាយដែលមិនផ្ទៀងផ្ទាត់។
កំហុសដែលមិនមានលេខសម្គាល់ CVE ប៉ុន្តែមានឈ្មោះថា “PRODSECBUG-២១៩៨” អាចអនុញ្ញាតឱ្យពួក Hacker ពីចម្ងាយលួចយកព័ត៌មានរសើបពីមូលដ្ឋានទិន្នន័យនៃគេហទំព័រពាណិជ្ជកម្មអេឡិចត្រូនិកដែលរួមមានវគ្គគ្រប់គ្រង ឬពាក្យសម្ងាត់ដែលអាចផ្តល់សិទ្ធិចូលដល់ពួក Hackerដើម្បីចូលផ្ទាំងគ្រប់គ្រងរបស់អ្នកគ្រប់គ្រង។
កំណែ Magento ដែលទទួលរងផលប៉ះពាល់រួមមាន:
Magento Open Source prior to 1.9.4.1
Magento Commerce prior to 1.14.4.1
Magento Commerce 2.1 prior to 2.1.17
Magento Commerce 2.2 prior to 2.2.8
Magento Commerce 2.3 prior to 2.3.1
ចាប់តាំងពីគេហទំព័រ Magento មិនត្រឹមតែផ្ទុកព័ត៌មានរបស់អ្នកប្រើប៉ុណ្ណោះទេ ប៉ុន្តែក៏មានប្រវត្តិនៃការបញ្ជាទិញនិងព័ត៌មានហិរញ្ញវត្ថុរបស់អតិថិជនរបស់ពួកគេ កំហុសអាចនាំឱ្យមានការវាយប្រហារលើអ៊ីនធឺណិត។ដោយសារតែទិន្នន័យរសើបនៃទិនានុប្បវត្តិទីផ្សារអេឡិចត្រូនិក Magento គ្រប់គ្រងលើមូលដ្ឋានប្រចាំថ្ងៃក៏ដូចជាហានិភ័យដែល SQL ងាយរងគ្រោះតំណាង អ្នកអភិវឌ្ឍន៍ Magento សម្រេចចិត្តមិនឱ្យចេញផ្សាយព័ត៌មានលម្អិតបច្ចេកទេសនៃកំហុសទេ។
ក្រៅពីភាពងាយរងគ្រោះរបស់SQLi Magentoក៏ធ្វើការកែតម្រូវការស្នើសុំឆ្លងតំបន់បណ្តាញ (CSRF) ស្គ្រីបឆ្លងតំបន់បណ្តាញ (XSS) ការអនុវត្តកូដពីចម្ងាយ (RCE) និងគុណវិបត្តិផ្សេងទៀត ប៉ុន្តែការកេងប្រវ័ញ្ចលើគុណវិបត្តិទាំងនោះភាគច្រើនទាមទារឱ្យអ្នកវាយប្រហារត្រូវផ្ទៀងផ្ទាត់លើតំបន់បណ្តាញជាមួយនឹងកម្រិតមួយចំនួននៃសិទ្ធិ។ម្ចាស់ហាងតាមអ៊ីនធឺណិតត្រូវជំរុញអោយតំឡើងគេហទំព័រពាណិជ្ជកម្មអេឡិចត្រូនិចរបស់ពួកគេទៅកំណែបោកបញ្ឆោតថ្មីៗនេះដែលអាចធ្វើទៅមុនពេលពួក Hacker ចាប់ផ្តើមធ្វើអាជីវកម្មនូវកំហុសឆ្គងដើម្បីសម្របសម្រួលគេហទំព័ររបស់អ្នកនិងលួចយកព័ត៌មានលម្អិតនៃការបង់ប្រាក់របស់អតិថិជនរបស់អ្នក។