Magento遠程代碼執行漏洞
漏洞都出现在Magento网站的核心部分,并且会影响其社区版和企业版的默认安装。客户们在IPS软件的保护之下已经不会受到这个漏洞的影响了。
會受到該漏洞的黑客控制,包括個人信息和財產信息等等。還可以绕过所有的安全机制并且获得控制商店和其数据库的最高权限,而且还允许攻击者进入系统的管理员权限。
對攻擊者來說,有一個不利的條件,即係統禁止了CGI的在其係統目錄中執行。為了繞過這個保護措施,我們可以在其子目錄中創建另一個’.htaccess’文件並且重寫父類的函數聲明。然而,這只是一個普通的利用技巧,當服務器檢測可疑文件的時候很容易檢測到這個文件。