Magento新的ZEND FRAMEWORK安全漏洞

最新推荐文章于 2024-03-17 21:37:36 发布
最新推荐文章于 2024-03-17 21:37:36 发布
阅读量310 收藏
点赞数
文章标签: Magento PHP ZENDFRAMEWORK 外贸建站 自助建站
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Pedrito666/article/details/102518663
版权

在这里插入图片描述
Magento原厂近日发布了一个与Zend Framework 1和2的Email元件相关的安全性漏洞。包括Magento 1.x和Magento 2.x在内的许多PHP解决方案都使用了这个元件。如果您的服务器使用Sendmail作为邮件传输代理的话,这个严重的漏洞可导致恶意的黑客使用远端代码执行攻击。

要保护您的网站免受此漏洞的影响,您应该立即检查邮件发送设定。请到您的Magento商店后台修改以下回复邮件地址的设定:
System-> Configuration-> Advanced-> System-> Mail Sending Settings-> Set Return-Path
如果您的后台语言界面是中文的,您可以参考以下的路径,但还是建议以英文为主以免造成误解:
系统- >配置- >高级- >系统- >邮件发送设置- >设置返回路径

如果“Set Return-Path(设置返回路径)”设定为“Yes/是”且您的服务器使用Sendmail功能,那么您的商店就属于暴露在此漏洞之下的网站。企业云版客户不需要担心这个问题。Magento原厂已经检查过您的配置没有风险。

虽然还没有观察到有透过此漏洞进行的攻击案件,但该漏洞还是有非常高的风险。我们强烈建议您在Magento原厂释出安全性补丁之前,无论您有无使用邮件传输代理都应该将“Set Return-Path/设置返回路径”设定关闭(切换到“No/否”)。Magento原厂目前正在努力提供补丁来关闭此一漏洞,补丁预计在几个星期内被释出。

麦进斗科技是国内顶尖开发Magento电商网站的专业团队,为诸多国际品牌公司和跨境贸易商户打造B2B, B2C等各种功能性网站,针对国内市场,对 Magento进行了改进和调整,包括中文汉化,帐户管理,地址格式本土化,对结账流程的支持,对国内常用支付接口的支持,对物流配送的支持等,让用户使用起来得心应手,打造高度灵活的企业级电子商务平台,让中小企业用国际顶级的电商系统magento将自己的产品更好的销往全球不再是问题。

Pedrito666
关注
Adobe Magento OR Commerce电子商务系统 XXE漏洞复现(CVE-2024-34102)
0xSec
06-28 920
2024年6月,Adobe官方披露CVE-2024-34102 Magento estimate-shipping-methods XXE漏洞,攻击者可在无需登陆的情况下构造恶意请求利用XXE读取文件,或者结合CVE-2024-2961 可能造成远程代码执行。
Zend架构最漏洞修复程序,mg版本1.5-1.7适用
至善 至美
07-17 787
Index: lib/Zend/XmlRpc/Response.php =================================================================== --- lib/Zend/XmlRpc/Response.php (revision 157103) +++ lib/Zend/XmlRpc/Response.php (working cop
Zend Framework远程执行代码漏洞
小小猪的博客
11-12 923
Zend Framework远程执行代码漏洞 框架描述: Zend Framework (ZF)是Zend公司推出的一套PHP开发框架。是用 PHP 5 来开发 web程序和服务的开源框架。ZF 用 100% 面向对象编码实现。 ZF 的组件结构独一无二,每个组件几乎不依靠其他组件。这样的松耦合结构可以让开发者独立使用组件。 我们常称此为 “use-at-will”设计。 漏洞描述: Zend Framework远程执行代码漏洞源于Stream类的析构函数,这是一个PHP魔术方法。在面向对象编程中,
【风险通告】Adobe Magento 远程代码执行漏洞
爱国小白帽
10-21 616
[金山云安全](javascript:void(0)???? 今天 近日,金山云安全应急响应中心监测到,Adobe官方发布了CVE-2020-24407远程代码执行及CVE-2020-24400: SQL注入漏洞通告。 该漏洞风险等级为高危,请相关用户尽快将Magento Commerce/Open Source升级到最版本,做好资产自查工作,避免遭受不必要的损失。 漏洞描述 Magento是一套专业开源的电子商务系统。本次Adobe官方发布安全公告披露了的 CVE-2020-24407远程代码执行、CV
php zend引擎漏洞,PHP Zend引擎释放后重用堆破坏漏洞(CVE-2010-4697)
weixin_39797393的博客
04-08 196
发布日期:2010-12-08更日期:2012-04-12受影响系统:PHP PHP 5.3.xPHP PHP 5.2.x不受影响系统:PHP PHP 5.3.4PHP PHP 5.2.15描述:--------------------------------------------------------------------------------BUGTRAQ ID: 45952CVE...
开源网店系统 Magento
08-01
3. **安全性**:Magento定期发布安全更,修复已知漏洞,保护商家和客户的敏感信息。 总结来说,Magento是一款全面、可扩展的电子商务解决方案,它的强大功能和开放源码性质使其在全球电商市场中占据了一席之地。...
magento-1.9.1.1-2015-04-30-12-49-08
07-29
首先,安全性是首要关注点,此版本可能包含了针对潜在安全漏洞的补丁,以保护商家和消费者的数据安全。此外,它还可能优化了性能,提高了页面加载速度和后台处理效率,这对于提升用户体验和SEO排名至关重要。 描述...
Magento Sample京东数据样本
08-31
2. **安全性**:确保定期更Magento到最版本,以修复可能的安全漏洞。同时,安装和配置安全插件,如Brute Force Protection,防止未授权访问。 3. **SEO优化**:设置正确的URL重写、添加元标签、生成XML站点地图...
The Definitive Guide to Magento (Apress出品 Magento权威指南)
04-27
- 开发者还需要关注最安全漏洞,并及时更补丁以防止攻击。 7. **性能优化** - Magento通过内置的缓存机制来加速页面加载速度,减少数据库查询次数。 - 对于高流量站点,可能还需要考虑使用CDN服务或者进行...
Magento.开发源码和开发资料
10-18
- **安全性**:理解Magento的安全最佳实践,如何防止SQL注入、XSS攻击等,以及定期更以修补安全漏洞。 4. **扩展与社区** - Magento拥有活跃的开发者社区,提供了大量免费和付费的扩展,这些扩展可以增强...
方卡在线php程序漏洞,php zend framework 的一些功能说明
weixin_30430677的博客
03-13 241
现在的zf最版本是ZendFramework-1.12(现在最的已经到2了),下载后重对里面的功能做了一些简单的分析,希望和大家一起学习进步.1)tests文件夹里面对我们怎样使用zend framework内核提供了很好的例子,也给出了如何测试zf的方法2)demos里面提供了实际的功能例子,对我们的实际开发有很好的参考作用3)dojo是非常适合放到后台管理使用,但功能太强大,学习起来比较...
Magento 2.2 SQL注入漏洞
weixin_51387754的博客
12-02 1560
漏洞简介 agento(麦进斗)是一款的专业开源电子商务平台,采用php进行开发,使用Zend Framework框架。设计得非常灵活,具有模块化架构体系和丰富的功能。 其prepareSqlCondition函数存在一处二次格式化字符串的bug,导致引入了非预期的单引号,造成SQL注入漏洞漏洞复现 使用vulhub 执行如下命令启动Magento 2.2.7: docker-compose up -d 环境启动后,访问http://your-ip:8080,即可看到Magento的安装页面。安装M
【高危安全通告】Adobe Magento Open Source远程代码执行漏洞
bocco的博客
02-16 2347
近日,安全狗应急响应中心监测Adobe Magento Open Source被露出远程代码执行漏洞漏洞编号CVE-2022-24086。可导致恶意用户远程代码执行等危害。 为避免您的业务受影响,安全狗建议您及时开展安全自查,如在受影响范围,请您及时进行更修复,避免被外部攻击者入侵。 漏洞描述 Adobe Magento是美国奥多比(Adobe)公司的一套开源的PHP电子商务系统,该系统提供权限管理、搜索引擎和支付网关等功能,Magento Open Source是Magento的开源版.
zend及Slim 漏洞合集
小小猪的博客
08-19 724
zend漏洞 zend framework文件读取漏洞分析 Zend Framework 1.11.13、1.12.0之前版本内的(1) Zend_Dom, (2) Zend_Feed, (3) Zend_Soap没有正确处理SimpleXMLElement类,这使得远程攻击者可利用XML-RPC请求中DOCTYPE元素内的外部实体引用(external entity reference)注入攻击,从而读取任意文件或创建TCP连接。 poc: <?xml version="1.0"?>.
利用关键Magento 2漏洞对电子商务站点的持续Xurum攻击
m0_73248913的博客
08-15 124
E-commerce sites using Adobe's Magento 2 software are the target of an ongoing campaign that has been active since at least January 2023.The attacks, dubbed Xurum by Akamai, leverage a now-patched critical security flaw (CVE-2022-24086, CVSS score: 9.8) in
复现vulhub中magento的2.2-sqli漏洞
最新发布
YX_zjp的博客
03-17 1515
Magento(麦进斗)是一款的专业开源电子商务平台,采用php进行开发,使用Zend Framework框架。其prepareSqlCondition函数存在一处二次格式化字符串的bug,导致引入了非预期的单引号,造成SQL注入漏洞。3、通过访问your-ip:port可以看到Magento的安装页面。时,返回的HTTP状态码不同,通过改变OR的条件,即可实现SQL BOOL型盲注。/magento-sqli.py以下载poc,poc内容为。4、分别访问链接,再通过burp suite抓包,
外贸网站Magento存在漏洞导致网站被攻击入侵的防护办法
网站安全专家
05-11 641
有些客户在找我们SINESAFE做网站安全服务之前,客户也找过建站的公司去清除后门,建站公司也将系统迁移升级到了最的2.4.4版本,但后来发现问题并没有完全的解决,还是会反复的被篡改代码和用户的支付页面被劫持跳转,问题的根源是代码里已经被黑客植入后门了,数据库也被留了木马病毒,这个时候不光是要升级magento到最版本,还得要把木马后门给彻底的清理掉,做好安全加固和防护,才能彻底的解决这个问题。第三,保存服务器的环境,以及现场的各种信息,如端口网络、应用程序、日志文件等。
magento < 1.9 xss 漏洞修复说明
weixin_33922670的博客
02-16 205
magento XSS漏洞 介绍就不说了 百度一下 到处都是这边简单记录下 处理过程, (比较粗暴,是否有效尚未验证)编辑app/design/adminhtml/default/default/template/sales/order/view/info.phtml文件搜索 getCustomerEmail 有两处 输出调用使用 htmlentities 方...
Fatal error: Uncaught Zend_Cache_Exception: cache_dir "/var/www/html/var/cache/" is not writable in /var/www/html/vendor/magento/zendframework1/library/Zend/Cache.php:209 Stack trace: #0 /var/www/html/vendor/magento/zendframework1/library/Zend/Cache/Backend/File.php(180): Zend_Cache::throwException('cache_dir "/var...') #1 /var/www/html/vendor/colinmollenhour/cache-backend-file/File.php(87): Zend_Cache_Backend_File->setCacheDir('/var/www/html/v...') #2 /var/www/html/vendor/magento/zendframework1/library/Zend/Cache.php(153): Cm_Cache_Backend_File->__construct(Array) #3 /var/www/html/vendor/magento/zendframework1/library/Zend/Cache.php(94): Zend_Cache::_makeBackend('Cm_Cache_Backen...', Array, true, true) #4 /var/www/html/vendor/magento/framework/App/Cache/Frontend/Factory.php(156): Zend_Cache::factory('Magento\\Framewo...', 'Cm_Cache_Backen...', Array, Array, true, true, true) #5 /var/www/html/vendor/magento/framework/Cache/Frontend/Adapter/Zend.php(38): Magento\Framework\App\Cache\Frontend\Factory->Magento\Framework\App\C in /var/www/html/vendor/magento/zendframework1/library/Zend/Cache.php on line 209
06-02
根据错误信息显示,“cache_dir”目录没有写入权限,这可能是由于Magento应用程序没有足够的权限来写入此目录。为了解决这个问题,你需要确保“cache_dir”目录存在并且有足够的权限来写入。你可以通过运行以下命令...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值