इस हफ्ते, Adobe ने अपने Magento प्लेटफॉर्म में कई उच्च-गंभीर कमजोरियों को संबोधित किया है, जिसने सैकड़ों हजारों वेबसाइटों को मनमाने कोड निष्पादन और ग्राहक सूची से छेड़छाड़ के हमलों के लिए असुरक्षित बना दिया है।
वर्डप्रेस के बाद मैगेंटो दूसरा सबसे लोकप्रिय कंटेंट मैनेजमेंट सिस्टम (सीएमएस) प्लेटफॉर्म है, जो 250,000 से अधिक सक्रिय ईकामर्स साइटों को अधिकार देता है, यह सभी ऑनलाइन स्टोरों का लगभग 12% है। और Magento.com के अनुसार, मैगेंटो-बेस साइट हर साल $155 बिलियन से अधिक का लेनदेन संभालती है।
Magento की कमजोरियां और प्रभावित Magento के संस्करण मिले
अपने सुरक्षा बुलेटिन [ASPB20-59] में, Adobe ने कुल 9 कमजोरियों के लिए पैच जारी किए हैं, जिससे Magento कॉमर्स और Magento के ओपन सोर्स प्लेटफ़ॉर्म प्रभावित हुए हैं। इन 9 कमजोरियों में से 8 को या तो महत्वपूर्ण या महत्वपूर्ण माना जाता है, जबकि एक को सामान्य मैगेंटो भेद्यता के रूप में माना जाता है।
Magento के प्लेटफ़ॉर्म में दो महत्वपूर्ण खामियों को फ़ाइल अपलोड अनुमति सूची बाईपास (CVE-2020-24407) और SQL इंजेक्शन (CVE-2020-24400) के रूप में ट्रैक किया जाता है जो हैकर्स को मनमाने कोड को निष्पादित करने की अनुमति दे सकते हैं और यहां तक कि पढ़ने या लिखने की पहुंच भी दे सकते हैं। पीड़ित Magento साइट के डेटाबेस में। लेकिन दोनों खामियों के लिए हैकर को पहले से ही व्यवस्थापकीय विशेषाधिकार प्राप्त करने की आवश्यकता होती है।
जबकि, एक संग्रहीत XSS (CVE-2020-24408), यदि शोषण किया जाता है, तो हैकर्स को ब्राउज़र में जावास्क्रिप्ट को मनमाने ढंग से निष्पादित करने की अनुमति दे सकता है - और इसके लिए शोषण के लिए पूर्व-प्रमाणीकरण (यानी व्यवस्थापक विशेषाधिकार) की आवश्यकता नहीं होती है।
मैग्नेटो साइटें जो Astra Security Magento Firewall . का उपयोग कर रही हैं पहले से ही उपर्युक्त सभी कमजोरियों के जोखिम से सुरक्षित हैं।
सुरक्षा बुलेटिन ने मैगेंटो प्लेटफॉर्म के प्रभावित संस्करणों की एक सूची भी प्रदान की:
अपनी Magento साइटों को इन कमजोरियों से कैसे सुरक्षित रखें
यदि आपकी वेबसाइट या ईकामर्स स्टोर पुराने Magento संस्करण पर चल रहा है, तो इन कमजोरियों से अपनी Magento साइट/स्टोर को सुरक्षित करने के लिए अपने इंस्टॉलेशन को नवीनतम संस्करण में अपडेट करने की अत्यधिक अनुशंसा की जाती है। यहां संबंधित Magento उत्पादों के लिए अद्यतन/नवीनतम संस्करणों की सूची दी गई है:
इसके अलावा, आपकी वेबसाइट या ईकामर्स स्टोर के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) स्थापित करने से हमेशा मदद मिल सकती है। WAF आपकी साइट फ़ाइलों, प्लगइन्स, एक्सटेंशन और थीम में ऐसी संभावित कमजोरियों से सुरक्षा प्रदान कर सकता है।
Astra Security Magneto Firewall आपकी वेबसाइट पर कैसे काम करता है
एस्ट्रा सिक्योरिटी WAF दुर्भावनापूर्ण ट्रैफ़िक और संभावित खतरों को फ़िल्टर करता है और आपकी वेबसाइट / ईकामर्स स्टोर को बुद्धिमान सुरक्षा प्रदान करता है। यह XSS, SQLi, CSRF, बैड बॉट्स, OWASP टॉप 10 और 100+ अन्य साइबर हमलों को रोकता है। यह बुद्धिमान फ़ायरवॉल आपकी वेबसाइट पर विज़िटर पैटर्न का पता लगाता है और दुर्भावनापूर्ण इरादे से हैकर्स को स्वचालित रूप से ब्लॉक कर देता है।