ຫຼາຍກວ່າ 95,000 ເຊີບເວີ Magento (Adobe Commerce) ໃນທົ່ວໂລກກໍາລັງຖືກໂຈມຕີໂດຍຊ່ອງໂຫວ່ທີ່ຮ້າຍແຮງທີ່ເອີ້ນວ່າ Session Reaper. ຊ່ອງໂຫວ່ນີ້ເຮັດໃຫ້ແຮກເກີສາມາດໃຊ້ປະໂຍດຈາກເຊດຊັນເຂົ້າສູ່ລະບົບຂອງຜູ້ໃຊ້ເພື່ອປະຕິບັດລະຫັດຈາກໄລຍະໄກ ແລະຄວບຄຸມລະບົບທັງໝົດ.
ບັນດາຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພທາງອິນເຕີແນັດ Bkav ຕີລາຄາວ່າ ຫວຽດນາມ ແມ່ນບັນດາປະເທດທີ່ມີຄວາມສ່ຽງສູງທີ່ຈະຖືກບຸກໂຈມຕີຈາກຊ່ອງຫວ່າງນີ້.
Magento ເປັນລະບົບການຈັດການເນື້ອຫາອີຄອມເມີຊແບບເປີດ (ອີຄອມເມີຊ CMS), ພັດທະນາໂດຍ Magento Inc. Magento ເປີດຕົວຄັ້ງທຳອິດໃນປີ 2008 ແລະຕອນນີ້ໄດ້ກາຍເປັນໜຶ່ງໃນແພລດຟອມອີຄອມເມີຊທີ່ນິຍົມທີ່ສຸດໃນ ໂລກ , ນຳໃຊ້ໂດຍທຸລະກິດຂະໜາດໃຫຍ່ ແລະຮ້ານຄ້າອອນລາຍຫຼາຍພັນຄົນ.
ທ່ານ Hoang Truong Khuong, ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພທາງອິນເຕີເນັດຂອງ Bkav, ກ່າວວ່າຊ່ອງໂຫວ່ SessionReaper ມາຈາກວິທີທີ່ Magento ປະມວນຜົນຂໍ້ມູນຜ່ານ Web API, ອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີສາມາດແຊກເນື້ອໃນທີ່ເປັນອັນຕະລາຍເຂົ້າໄປໃນ Session ແລະອັບໂຫຼດ web shell - ໄຟລ໌ອັນຕະລາຍທີ່ຊ່ວຍຮັກສາການເຂົ້າເຖິງ ແລະຄວບຄຸມເຄື່ອງແມ່ຂ່າຍ.
ການຂູດຮີດສົບຜົນສໍາເລັດສາມາດເຮັດໃຫ້ຜູ້ໂຈມຕີໄດ້ຮັບສິດທິໃນການບໍລິຫານ, ຂໍ້ມູນການຈ່າຍເງິນຮົ່ວໄຫຼ, ຫຼືສ້າງບັນຊີ admin ປອມເພື່ອຂະຫຍາຍຂອບເຂດຂອງການໂຈມຕີ. ລຸ້ນ Adobe Commerce ແລະ Magento Open Source ທີ່ອອກກ່ອນເດືອນຕຸລາ 2025, ລວມທັງສາຂາ 2.4.9-alpha2 ແລະລຸ່ມນີ້, ແມ່ນມີຄວາມສ່ຽງຕໍ່ຊ່ອງໂຫວ່ນີ້.
ໃນເວລາພຽງ 48 ຊົ່ວໂມງຫຼັງຈາກລະຫັດການຂູດຮີດຖືກເປີດເຜີຍຕໍ່ສາທາລະນະ, ໂລກໄດ້ບັນທຶກການໂຈມຕີແບບອັດຕະໂນມັດຫຼາຍກວ່າ 300 ການໂຈມຕີທີ່ແນໃສ່ຫຼາຍກວ່າ 130 ເຊີບເວີ Magento. ອີງຕາມສະຖິຕິຈາກ Sansec Shield, ເຖິງແມ່ນວ່າ Adobe ໄດ້ປ່ອຍຕົວແກ້ໄຂສຸກເສີນໃນຕົ້ນເດືອນກັນຍາ, ປະມານ 62% ຂອງຮ້ານ Magento ບໍ່ໄດ້ຮັບການປັບປຸງ.
ດ້ວຍຫຼາຍກວ່າ 95,000 ເຊີບເວີ Magento ດໍາເນີນການສາທາລະນະທົ່ວໂລກ, ນີ້ຫມາຍຄວາມວ່າຫລາຍພັນເວັບໄຊທ໌ອີຄອມເມີຊຍັງມີຄວາມສ່ຽງທີ່ຈະໂຈມຕີ. ການຊັກຊ້າພຽງແຕ່ຫນຶ່ງມື້ໃນການປັບປຸງສາມາດເຮັດໃຫ້ເກີດຄວາມເສຍຫາຍທີ່ຮ້າຍແຮງຕໍ່ທຸລະກິດ.
ຢູ່ຫວຽດນາມ, ຫຼາຍເວທີການຄ້າອີຄອມເມີຊ, ລວມທັງຫຼາຍຮ້ອຍຍີ່ຫໍ້ທີ່ມີຊື່ສຽງໃນຂົງເຂດການຂາຍຍ່ອຍ, ແຟຊັ່ນ ແລະເຕັກໂນໂລຢີ, ກໍາລັງໃຊ້ Magento. ການຄົ້ນຄວ້າ, ການສໍາຫຼວດແລະປະສົບການຈາກຂະບວນການຈັດການກັບເຫດການທາງອິນເຕີເນັດຂອງ Bkav ທັງຫມົດສະແດງໃຫ້ເຫັນວ່ານີ້ແມ່ນກຸ່ມເປົ້າຫມາຍທີ່ມີຄວາມສ່ຽງທີ່ສຸດເພາະວ່າລະບົບສ່ວນໃຫຍ່ບໍ່ມີຂະບວນການ patching ປົກກະຕິຫຼືຂາດຊັ້ນປ້ອງກັນຢູ່ໃນຊັ້ນຄໍາຮ້ອງສະຫມັກ (WAF).
ໃນຂະນະດຽວກັນ, ຮຸ່ນ Magento ເກົ່າຫຼືໂມດູນ REST API ທີ່ບໍ່ສາມາດຄວບຄຸມໄດ້ແມ່ນຖືວ່າເປັນກຸ່ມທີ່ມີຄວາມສ່ຽງສູງ, ມີທ່າແຮງທີ່ແຮກເກີຖືກຂູດຮີດຢ່າງໄວວາຖ້າບໍ່ໄດ້ຮັບການປັບປຸງທັນທີ.
Bkav ແນະນໍາໃຫ້ຜູ້ເບິ່ງແຍງລະບົບ Magento ໃນຫວຽດນາມປັບປຸງ patch ຢ່າງເປັນທາງການຈາກ Adobe ຢ່າງຮີບດ່ວນ, ແລະເປີດໃຊ້ web application firewall (WAF) ເພື່ອກັ່ນຕອງແລະສະກັດແພັກເກັດທີ່ຜິດປົກກະຕິ. ທຸລະກິດຄວນທົບທວນຄືນລະບົບທັງຫມົດ, ໂດຍສະເພາະແມ່ນການກວດສອບຮູບລັກສະນະຂອງໄຟລ໌ PHP ທີ່ແປກປະຫຼາດໃນໄດເລກະທໍລີ, ແລະທົບທວນຄືນບັນຊີບໍລິຫານທີ່ສ້າງໃຫມ່. ໃນກໍລະນີທີ່ສົງໃສວ່າມີການບຸກລຸກ, ມັນຈໍາເປັນຕ້ອງແຍກເຄື່ອງແມ່ຂ່າຍ, ຟື້ນຟູຈາກການສໍາຮອງທີ່ສະອາດແລະປ່ຽນລະຫັດຜ່ານແລະລະຫັດເຂົ້າທັງຫມົດ.
ທີ່ມາ: https://nhandan.vn/lo-hong-nghiem-trong-khien-hon-95000-may-chu-cua-adobe-magento-bi-tan-cong-doanh-nghiep-viet-nam-can-khan-truong-ung-pho-post920262.html
![[ຮູບພາບ] ຊາວຫນຸ່ມນະຄອນໂຮ່ຈິມິນປະຕິບັດເພື່ອສະພາບແວດລ້ອມທີ່ສະອາດ](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/04/1762233574890_550816358-1108586934787014-6430522970717297480-n-1-jpg.webp)
![[ຮູບພາບ] ພາໂນຣາມາຂອງກອງປະຊຸມໃຫຍ່ຜູ້ຮັກຊາດຂອງຫນັງສືພິມ Nhan Dan ໄລຍະ 2025-2030](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/04/1762252775462_ndo_br_dhthiduayeuncbaond-6125-jpg.webp)
![[ຮູບພາບ] ກ່າເມົາ “ສູ້ຊົນ” ເພື່ອຮັບມືກັບນ້ຳຂຶ້ນສູງສຸດຂອງປີ, ຄາດຄະເນວ່າ ຈະສູງກວ່າລະດັບ 3.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/04/1762235371445_ndo_br_trieu-cuong-2-6486-jpg.webp)
![[ພາບ] ເສັ້ນທາງເຊື່ອມຕໍ່ ດົ່ງນາຍ ກັບນະຄອນ ໂຮ່ຈີມິນ ຍັງບໍ່ທັນສຳເລັດພາຍຫຼັງ 5 ປີແຫ່ງການກໍ່ສ້າງ.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/04/1762241675985_ndo_br_dji-20251104104418-0635-d-resize-1295-jpg.webp)
![[ພາບຖ່າຍ] HP OmniBook 7 Aero 13”, ຄວາມປອດໄພອັດສະລິຍະ](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/11/04/1762263280437_info-hp-02-jpg.webp)
![[ວີດີໂອ] ກະຊວງສຶກສາທິການ ແລະ ກີລາ ປະກາດແຜນການເຂົ້າຮຽນມະຫາວິທະຍາໄລ ແລະ ວິທະຍາໄລ ປີ 2026](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/11/04/1762270484541_dung00-18-42-03still007-jpg.webp)
![[ຮູບພາບ] ທ່ານນາຍົກລັດຖະມົນຕີ ຟ້າມບິ່ງມິງ ເປັນປະທານກອງປະຊຸມຄັ້ງທີ 20 ຂອງຄະນະຊີ້ນຳແຫ່ງຊາດ ກ່ຽວກັບການຕ້ານການຫາປາຜິດກົດໝາຍ.](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/11/04/1762267178314_dsc-0115-jpg.webp)
(0)