Nếu bạn đang chạy một trang cửa hàng trực tuyến trên nền tảng thương mại điện tử Magento, bạn được khuyến cáo cập nhật càng sớm càng tốt. Các bản vá mới nhất khắc phục những lỗ hổng nghiêm trọng mà có thể cho phép tin tặc chiếm quyền điều khiển tài khoản quản trị.

Các lỗi XSS lưu trữ có thể cho phép tin tặc chiếm quyền điều khiển tài khoản quản trị
Một vấn đề được phát hiện bởi các nhà nghiên cứu từ công ty an ninh web Sucuri và bắt nguồn từ việc xác nhận sai địa chỉ email trong mẫu đăng ký của khách hàng.
Lỗ hổng này cho phép tin tặc nhúng đoạn mã JavaScript trong trường địa chỉ email, dẫn đến một cuộc tấn công XSS (cross-site scripting) lưu trữ. Đoạn mã JavaScript được lưu cùng với biểu mẫu và được kích hoạt khi tài khoản người dùng được liệt kê trong trang quản trị của trang web.
Vấn đề này được đánh giá là nghiêm trọng bởi vì đoạn mã giả mạo có thể chiếm quyền điều khiển một phiên đã chứng thực của tài khoản quản trị hoặc có thể khiến trình duyệt của người quản trị thực hiện một hành động giả mạo trên trang web, chẳng hạn như thêm tài khoản quản trị khác với các thông tin do tin tặc cung cấp.
Lỗ hổng này ảnh hưởng đến Magento Community Edition từ phiên bản 1.9.2.3 trở về trước và Magento Enterprise Edition từ phiên bản 1.14.2.3 trở về trước. Magento đã phát hành một gói bản vá tuần trước được gọi là SUPEE-7405 mà có thể áp dụng được cho các phiên bản cũ hơn.
Gói bản vá này cũng bao gồm các bản vá cho 19 lỗ hổng khác, bao gồm cả một lỗ hổng XSS lưu trữ tương tự trong biểu mẫu bình luận đặt hàng và một lỗ hổng trong việc xử lý header HTTP_X_FORWARDED_FOR cho địa chỉ IP của khách hàng. Các lỗ hổng khác được khắc phục bao gồm rò rỉ thông tin, bỏ qua CAPTCHA, lỗ hổng CSRF (cross-site request forgery), tải lên tập tin mã độc và tấn công từ chối dịch vụ đối với chức năng newsletter.
Một số lỗ hổng khác cũng ảnh hưởng Magento 2.x CE và EE. Phiên bản 2.0.1 đã được phát hành cho cả hai bản để khắc phục chúng, cùng với một số lỗ hổng XSS lưu trữ quan trọng mà chỉ tồn tại trong các phiên bản 2.x.
"Nếu bạn đang sử dụng một phiên bản Magento đang tồn tại lỗ hổng, cập nhật bản vá càng sớm càng tốt", Marc-Alexandre Montpas, chuyên gia của Sucuri, người đã tìm thấy một trong những lỗ hổng XSS lưu trữ, trong một bài trên blog hôm thứ Sáu.
Theo công ty mà đang phát triển nền tảng thương mại điện tử, Magento được sử dụng bởi hơn 200.000 công ty, trong đó có rất nhiều chủ sở hữu thương hiệu nổi tiếng. Một cuộc khảo sát năm 2015 được thực hiện đối với 1 triệu trang web hàng đầu về lưu lượng truy cập phát hiện ra rằng Magento được sử dụng bởi khoảng 30% cửa hàng trực tuyến của họ, khiến nó trở thành nền tảng thương mại điện tử phổ biến nhất.
Trước đây những trang web dựa trên Magento là mục tiêu của các cuộc tấn công quy mô lớn, vì vậy chúng đại diện cho một mục tiêu hấp dẫn của tin tặc. Trong tháng 10, hàng ngàn cửa hàng trực tuyến chạy nền tảng này  đã bị nhiễm công cụ khai thác Neutrino.