Phát hiện lỗ hổng bảo mật với SQL injection trong 3rd party theme và extension

SQL injection

Ngày 27/04/2016 team Magento tuyên bố phát hiện lỗ hổng bảo mật thông qua phương thức tấn công SQL injection trong nhiều theme và extension phát triển bởi bên thứ 3, các extension bị dính lỗi này bao gồm:

  • EM (Extreme Magento) Ajaxcart
  • EM (Extreme Magento) Quickshop
  • MD Quickview
  • SmartWave QuickView

Những extension này được dùng trong trong khá nhiều theme, bao gồm Porto, Trego và Kallyas phát triển bởi SmartWave, những theme khác của SmartWave cũng có thể bị lỗi này, EM theme cũng có khả năng bị lỗi tương tự nếu theme có dùng EM extension. Phần core của Magento không bị ảnh hưởng bởi lỗi trên.

Một số site sử dụng Magento với các extension và theme trên đã bị hacker khai thác lỗi và truy cập vào hệ thống, nếu đây là trường hợp của bạn, bạn nên liên hệ ngay với bên cung cấp dịch vụ Magento để tiến hành fix lỗi. Themeforest đã tiến hành fix lỗi cho theme Porto, nên nếu bạn đặt mua Porto theme tại Themeforest, bạn có thể đã có email thông báo chính thức cách fix lỗi từ Themeforest, tuy nhiên các theme khác (hoặc theme Porto đặt mua từ các site khác) có thể vẫn bị lỗi.

Một khi phát hiện site của bạn bị lỗi SQL injection, hacker thường lợi dụng lỗi này để tạo thêm user đăng nhập cho riêng họ và dùng chính user này để điều khiển website của bạn theo ý muốn. Bạn nên kiểm tra danh sách user trong Magento một cách thường xuyên để kịp thời xử lý các user lạ trong hệ thống, tránh bị mất thông tin và gián đoạn quá trình kinh doanh online của mình.

Hoặc bạn có thể để LT SOFT giải quyết vấn đề lỗ hổng bảo mật này cho bạn, hãy liên hệ với chúng tôi ngay hôm nay.