Magecart attackers have a new trick: Stashing persistent backdoors within e-commerce websites that are capable of pushing malware automatically.
کے مطابق researchers at Sansec, the threat actors are exploiting a critical command injection vulnerability in the Adobe Magento e-commerce platform (CVE-2024-20720, CVSS score of 9.1), which allows arbitrary code execution without user interaction.
The executed code is a “cleverly crafted layout template” in the layout_update database table, which contains XML shell code that automatically injects malware into compromised sites via the controller for the Magento content management system (CMS).
“Attackers combine the Magento layout parser with the beberlei/assert package (installed by default) to execute system commands,” Sansec said in an alert. “Because the layout block is tied to the checkout cart, this command is executed whenever <store>/checkout/cart is requested.”
Sansec observed Magecart (a long-running umbrella organization for cybercrime groups that skim payment card data from e-commerce sites) using this technique to inject a Stripe payment skimmer, which captures and exfiltrates payment data to an attacker-controlled site.
Adobe resolved the security bug in February in both Adobe Commerce and Magento, so e-tailers should upgrade their versions to 2.4.6-p4, 2.4.5-p6, or 2.4.4-p7 to be protected from the threat.
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/cloud-security/magecart-attackers-pioneer-persistent-ecommerce-backdoor
- : ہے
- 1
- 7
- 9
- a
- اداکار
- ایڈوب
- انتباہ
- کی اجازت دیتا ہے
- an
- اور
- صوابدیدی
- کیا
- At
- خود کار طریقے سے
- پچھلے دروازے
- گھر کے دروازے
- BE
- کیونکہ
- بلاک
- دونوں
- بگ کی اطلاع دیں
- by
- صلاحیت رکھتا
- قبضہ
- کارڈ
- اس کو دیکھو
- سینٹی میٹر
- کوڈ
- جمع
- کمانڈ
- کامرس
- سمجھوتہ کیا
- پر مشتمل ہے
- مواد
- کنٹرولر
- تیار کیا
- اہم
- سائبر جرائم
- اعداد و شمار
- ڈیٹا بیس
- پہلے سے طے شدہ
- ای کامرس
- عملدرآمد
- پھانسی
- پھانسی
- استحصال کرنا
- فروری
- کے لئے
- سے
- گروپ کا
- ہے
- HTTPS
- in
- انجکشن
- نصب
- بات چیت
- میں
- فوٹو
- لے آؤٹ
- میلویئر
- انتظام
- نئی
- of
- or
- تنظیم
- پیکج
- ادائیگی
- ادائیگی کارڈ
- سرخیل
- پلیٹ فارم
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- محفوظ
- دھکیلنا
- حل کیا
- کہا
- سکور
- سیکورٹی
- شیل
- ہونا چاہئے
- سائٹ
- سائٹس
- So
- پٹی
- کے نظام
- ٹیبل
- تکنیک
- سانچے
- کہ
- ۔
- ان
- اس
- خطرہ
- دھمکی دینے والے اداکار
- بندھے ہوئے
- کرنے کے لئے
- ٹرک
- چھتری
- اپ گریڈ
- رکن کا
- کا استعمال کرتے ہوئے
- ورژن
- کی طرف سے
- خطرے کا سامنا
- ویب سائٹ
- جب بھی
- جس
- ساتھ
- کے اندر
- بغیر
- XML
- زیفیرنیٹ