Magento电子商务平台中的未修补的漏洞可能允许黑客在托管网上商店的网络服务器上上传并执行恶意代码。

　　该漏洞由安全顾问DefenseCode的研究人员发现，该功能可以检索Vimeo上托管的视频的预览图像。这样的视频可以添加到Magento的产品列表。

　　DefenseCode研究人员确定，如果图像URL指向不同的文件，例如PHP脚本，Magento将下载文件以验证它。如果文件不是图像，平台将返回“不允许的文件类型”错误，但实际上不会将其从服务器中删除。

　　有权利利用此漏洞的攻击者可以通过首先欺骗Magento来下载.htaccess配置文件，从而在下载目录中执行PHP，然后下载恶意PHP文件本身，可以实现远程执行代码。

　　一旦在服务器上，PHP脚本可以作为后门，并可以通过将浏览器指向外部位置从外部访问。例如，攻击者可以使用它来浏览服务器目录，并从Magento的配置文件中读取数据库密码。这可以揭示存储在数据库中的客户信息，这对于客户来说是非常可怕的。

　　唯一的限制是，此漏洞无法直接利用，因为视频链接功能需要身份验证。这意味着攻击者需要访问目标网站上的帐户，但这可能是一个较低权限的用户，而不一定是管理员。

　　如果网站没有启用“添加秘密密钥URL”选项，也可以轻松克服身份验证障碍。此选项旨在防止跨站点请求伪造（CSRF）攻击，并默认启用。

　　CSRF是一种攻击技术，涉及强制用户浏览器在访问不同网站时在网站上执行未经授权的请求。

　　DefenseCode研究人员在一份咨询文章中说：“攻击可以在电子邮件或公共留言板中简单地构建为img src = ...，如果用户当前登录到Magento，它将自动触发任意文件上传。“攻击者还可以诱使用户使用社交登录来开展CSRF链接。”

　　这意味着，只要点击电子邮件中的链接或访问特制网页，在浏览器中启用Magento会话的用户可能会将其帐户暴露。

　　DefenseCode研究人员声称，他们已经在去年11月份向Magento开发者报告了这些问题，但从那时起没有收到关于修补计划的信息。

　　Magento社区版（CE）的几个版本自11月份发布以来，最近的版本是周二的2.1.6。根据DefenseCode，所有Magento CE版本仍然是脆弱的有缺陷的。

　　Magento在一封电子邮件的声明中说：“我们一直在积极调查所报告问题的根本原因，“我们将在下一个补丁版本中解决这个问题，并继续努力改进我们的程序。”

　　DefenseCode研究人员说：“强烈建议所有用户强制使用”添加秘密密钥到URL“，减轻CSRF攻击向量。“为防止通过任意文件上传远程执行代码，服务器应配置为不受影响目录中的.htaccess文件。

　　Magento目前被超过25万个在线零售商使用，成为黑客最有吸引力的攻击目标。去年，研究人员发现了数以千计的Magento网上商店遭到入侵和感染恶意代码。

责任编辑：韩希宇