在信息安全的世界中，令人担忧的消息层出不穷，而最近关于 Magento 的安全漏洞的发现尤其引人注目。根据安全研究机构 Sansec 的最新报告，网络攻击者正在利用 CVE-2024-20720 的高危漏洞，通过在电子商店中嵌入持久后门，来进行恶意活动。该漏洞的 CVSS 分数高达9.1，属于操作系统命令注入（OS Command Injection）漏洞，其潜在的危险性巨大。

Magento 是一个流行的电商平台，受其影响的版本包括 2.4.6-p3、2.4.5-p5、2.4.4-p6 及更早版本。此漏洞特别令人担忧，因为攻击者无需用户交互便可进行利用。这一脆弱性允许攻击者执行任意代码，意味着只需轻松的几步便可完全控制受害者的系统。

研究表明，攻击者将巧妙设计的 XML 代码注入其布局更新数据库表中，从而实现对系统的周期性再感染。这一机制不仅保证了攻击者在初次清除后仍能重新植入恶意代码，还能够在 Magento 的布局解析器中结合 beberlei/assert 包（默认安装）来执行系统命令。当用户访问 <store>/checkout/cart 时，这些命令便会被执行。一旦该后门成功植入，攻击者就可以记录支付信息，转移资金，甚至窃取客户的个人数据。

持久性后门的实现

通过一个名为 sed 的命令，攻击者能够在每次请求购物车时将后门再次植入。这一过程的代码具体实施如下。在进行了手动修复或运行 bin/magento setup:di:compile 命令后，恶意代码会再次自动注入，从而确保攻击者对系统的持久控制。

特别令人沮丧的是，许多 Magento 管理员可能并不知情，因此他们可能未能适时打上补丁。在此情况之下，攻击者利用了 Magento 系统的这一根本脆弱性，并通过伪装成支付平台的方式，来收集用户的信息和数据，随后将其转发到其他被攻陷的网站，进一步加大了攻击的范围和危险性。

因此，Adobe 迅速发布了补丁，建议所有网站管理员尽快升级到安全版本 2.4.6-p4、2.4.5-p6 或 2.4.4-p7，为了消除潜在的风险并确保客户的安全，电商平台的管理员必须马上对其网站进行全面的漏洞扫描和修复。

安全建议

在数字时代，网络安全不容小觑。电商网站必须采取积极的防护措施，以应对日益复杂的网络攻击。而对于普通用户而言，保持警觉同样重要。以下是一些安全建议：

1. 及时更新软件：确保所有系统和应用程序运行最新版本，及时应用安全补丁，从而避免被已知漏洞攻击。
2. 定期进行安全检查：对系统进行定期扫描，检测可能存在的后门或恶意软件。
3. 使用强密码：设置复杂的管理员密码并定期更换，减少被破解的风险。
4. 监控系统日志：定期检查系统日志，寻找异常活动的迹象，如不明的 IP 地址和未授权的访问。
5. 安全意识培训：对员工进行定期的网络安全培训，提高他们对钓鱼邮件和网络攻击等常见安全威胁的认知。

随着技术的进步和攻击者手段的不断升级，每个人都应对网络安全有更深刻的理解和认识。只有加强防护，方能在这个瞬息万变的数字时代保障自身的安全。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！