मैजकार्ट हमलावरों के पास एक नई चाल है: ई-कॉमर्स वेबसाइटों के भीतर लगातार पिछले दरवाजों को छिपाना जो मैलवेयर को स्वचालित रूप से धकेलने में सक्षम हैं।
के अनुसार सैनसेक के शोधकर्ता, खतरे वाले अभिनेता Adobe Magento ई-कॉमर्स प्लेटफ़ॉर्म (CVE-2024-20720, CVSS स्कोर 9.1) में एक महत्वपूर्ण कमांड इंजेक्शन भेद्यता का फायदा उठा रहे हैं, जो उपयोगकर्ता इंटरैक्शन के बिना मनमाने ढंग से कोड निष्पादन की अनुमति देता है।
निष्पादित कोड लेआउट_अपडेट डेटाबेस तालिका में एक "चतुराई से तैयार किया गया लेआउट टेम्पलेट" है, जिसमें XML शेल कोड होता है जो Magento सामग्री प्रबंधन प्रणाली (CMS) के लिए नियंत्रक के माध्यम से स्वचालित रूप से समझौता की गई साइटों में मैलवेयर इंजेक्ट करता है।
सैनसेक ने एक अलर्ट में कहा, "हमलावर सिस्टम कमांड को निष्पादित करने के लिए मैगेंटो लेआउट पार्सर को बेबरलेई/एसर्ट पैकेज (डिफ़ॉल्ट रूप से स्थापित) के साथ जोड़ते हैं।" “चूंकि लेआउट ब्लॉक चेकआउट कार्ट से जुड़ा हुआ है, इसलिए यह कमांड जब भी निष्पादित होता है /चेकआउट/कार्ट का अनुरोध किया जाता है।"
सैनसेक ने मेगेकार्ट (साइबर अपराध समूहों के लिए एक लंबे समय से चलने वाला छाता संगठन) का अवलोकन किया ई-कॉमर्स साइटों से स्किम भुगतान कार्ड डेटा) इस तकनीक का उपयोग स्ट्राइप पेमेंट स्किमर को इंजेक्ट करने के लिए किया जाता है, जो भुगतान डेटा को कैप्चर करता है और हमलावर-नियंत्रित साइट पर भेजता है।
Adobe ने फरवरी में Adobe कॉमर्स और Magento दोनों में सुरक्षा बग का समाधान किया था, इसलिए ई-टेलर्स को खतरे से सुरक्षित रहने के लिए अपने संस्करणों को 2.4.6-p4, 2.4.5-p6, या 2.4.4-p7 में अपग्रेड करना चाहिए।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cloud-security/magecart-attackers-pioneer-persistent-ecommerce-backdoor
- :है
- 1
- 7
- 9
- a
- अभिनेताओं
- एडोब
- चेतावनी
- की अनुमति देता है
- an
- और
- मनमाना
- हैं
- At
- स्वतः
- पिछले दरवाजे
- पिछले दरवाजे
- BE
- क्योंकि
- खंड
- के छात्रों
- दोष
- by
- सक्षम
- कब्जा
- कार्ड
- चेक आउट
- सीएमएस
- कोड
- गठबंधन
- आदेश
- कॉमर्स
- छेड़छाड़ की गई
- शामिल हैं
- सामग्री
- नियंत्रक
- तैयार
- महत्वपूर्ण
- cybercrime
- तिथि
- डाटाबेस
- चूक
- ई - कॉमर्स
- निष्पादित
- मार डाला
- निष्पादन
- शोषण
- फरवरी
- के लिए
- से
- समूह की
- है
- HTTPS
- in
- इंजेक्षन
- installed
- बातचीत
- में
- जेपीजी
- ख़ाका
- मैलवेयर
- प्रबंध
- नया
- of
- or
- संगठन
- पैकेज
- भुगतान
- भुगतान कार्ड
- अग्रणी
- मंच
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- संरक्षित
- धक्का
- संकल्प
- कहा
- स्कोर
- सुरक्षा
- खोल
- चाहिए
- साइट
- साइटें
- So
- धारी
- प्रणाली
- तालिका
- तकनीक
- टेम्पलेट
- कि
- RSI
- लेकिन हाल ही
- इसका
- धमकी
- खतरों के खिलाड़ी
- बंधा होना
- सेवा मेरे
- चाल
- छाता
- उन्नयन
- उपयोगकर्ता
- का उपयोग
- संस्करणों
- के माध्यम से
- भेद्यता
- वेबसाइटों
- जब कभी
- कौन कौन से
- साथ में
- अंदर
- बिना
- एक्सएमएल
- जेफिरनेट