Breaking News
AMR | Citrix Webinar: The Next New Normal

เตือนช่องโหว่ SQL Injection บน Magento อาจถูกใช้โจมตีเป็นวงกว้างในไม่ช้า ควรเร่ง Patch ทันที

หลังจากที่สัปดาห์ที่แล้ว Adobe ได้ออกมาประกาศ Patch ล่าสุดให้กับ Magento ระบบ E-Commerce ที่ได้รับความนิยมสูงทั่วโลก เพื่ออุดช่องโหว่ SQL Injection ไป ตอนนี้ก็เริ่มมีเหล่าผู้เชี่ยวชาญด้าน Security ออกมาแจ้งเตือนกันแล้วว่าช่องโหว่ดังกล่าวอาจถูกใช้ในการโจมตีทั่วโลกในไม่ช้านี้ และแนะนำให้ธุรกิจต่างๆ ที่ใช้งาน Magento อยู่นั้นรีบอัปเดต Patch อุดช่องโหว่กันทันที

Credit: Magento

ในอัปเดตรอบล่าสุดของ Magento นี้มีการอุดช่องโหว่ด้าน Security ไปมากถึง 37 รายการทั้งสำหรับระบบแบบ Commercial และ Open Source โดยมี 4 ช่องโหว่ที่ได้คะแนน CVSS สูงกว่า 9 คะแนน ซึ่งแปลว่ามีความรุนแรงระดับสูงสุด แต่ช่องโหว่ SQL Injection ในรายการ Patch ครั้งนี้ถือเป็นช่องโหว่ที่ถูกโจมตีได้ง่ายและสร้างความเสียหายได้มาก ทาง Sucuri จึงได้ออกมาเตือนว่าช่องโหว่นี้อาจถูกใช้โจมตีในอนาคต

อย่างไรก็ดี ด้วยความที่ Magento นั้นเป็น Platform ที่ถูกใช้งานอย่างกว้างขวางทั่วโลก ทำให้ Magento นั้นมักตกเป็นเป้าหมายของการโจมตีเป็นอันดับต้นๆ อยู่แล้ว ผู้ดูแลระบบ Magento จึงควรให้ความสำคัญกับการอัปเดต Patch อย่างสม่ำเสมอ โดยรุ่นล่าสุดที่อุดช่องโหว่เหล่านี้ไปแล้วคือรุ่น 2.3.1, 2.2.8 และ 2.1.17

ผู้ที่สนใจสามารถตรวจสอบรายการช่องโหว่และ Patch ล่าสุดของ Magento ได้ที่ https://magento.com/security/patches/magento-2.3.1-2.2.8-and-2.1.17-security-update ครับ

ที่มา: https://www.csoonline.com/article/3385525/critical-magento-sql-injection-flaw-could-be-targeted-by-hackers-soon.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

CU Webinar: ตอบโจทย์ Cybersecurity ด้วยเทคโนโลยี Machine Learning (ML) และ Artificial Intelligence (AI) จาก IBM QRadar

TechTalkThai ขอเรียนเชิญ CTO, CIO, CISO, IT Manager, IT Security Manager, Security Engineer, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "ตอบโจทย์ Cybersecurity ด้วยเทคโนโลยี Machine Learning (ML) และ Artificial Intelligence (AI) จาก IBM QRadar" เพื่อเรียนรู้กรณีการตรวจจับและจัดการกับภัยคุกคามอย่างมีประสิทธิภาพมากขึ้นโดยการนำ ML และ AI มาใช้ พร้อมชมตัวอย่างจาก IBM QRadar ในวันศุกร์ที่ 12 มิถุนายน 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

[Guest Post] เอไอเอส ยืนยัน ไม่มีข้อมูลส่วนบุคคลลูกค้ารั่วไหลตามที่เป็นข่าว

นางสายชล ทรัพย์มากอุดม หัวหน้าสายงานประชาสัมพันธ์ บริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) กล่าวว่า “จากการรายงานข่าวในต่างประเทศเกี่ยวกับการรั่วไหลของข้อมูลลูกค้าเอไอเอส นั้น บริษัทฯ ขอเรียนว่า ข้อมูลดังกล่าวไม่ใช่ข้อมูลส่วนบุคคลของลูกค้าแต่เป็นข้อมูลเกี่ยวกับการใช้งานอินเตอร์เน็ตในภาพรวมบางส่วน และไม่ใช่ข้อมูลที่สามารถก่อให้เกิดความเสียหายด้านการเงินหรือด้านอื่นๆ โดยกรณีนี้เกิดจากการทดสอบเพื่อปรับปรุงคุณภาพเครือข่ายที่มีขึ้นในเดือนพฤษภาคม และภารกิจดังกล่าวได้ดำเนินการเรียบร้อยแล้ว โดยขอยืนยันอีกครั้งว่า ไม่มีลูกค้ารายใดได้รับผลกระทบทั้งด้านการเงินและด้านอื่นๆอย่างแน่นอน”