Magento漏洞

今天在客户网站MAGENTO2网站上发现一例JS木马

现在MAGENTO2的安全性已经非常强了,大多数木马是由于弱密码导致,比如后台或是FTP,数据库等,被有心之人利用,上传了图片木马,获取到了完整的文件权限,然后进一步植入了NGINX或是apache木马。这类通过侵入后台,植入加密JS的木马也比较常见,一般非常好防控,如果不留意会导致整个网站seo受影响。客户在网站上录入信用卡购买物品时极大可能会损失钱财。加密的js原文如下function _0x...

Apache 服务器上 Magento 2 站点启用 CORS跨域名

如果您的MAGENTO2网站在使用过程中,出现如图示的红色区域提示,那么说明您的网站部分功能存在CROS限制。在开始前,先了解下什么是CROS?CORS 代表跨域资源共享,它控制哪些站点可以访问另一个站点的资源。如果您在不同的子域和/或域上运行应用程序并且它们需要相互通信,那么您将需要设置 CORS我们如何设置 CORS?需要从正在访问的发送特定的标头HEADER信息。因此,例如,如果您的前端位于...

M2已经默认修复不同PHP版本建立的用户运行时会出错

如我们在 https://www.magentola.com/news-read-69.html 中说到,MAGENTO2采用的加密方法是PHP组件 sodium而不同PHP版本加密的结果完全不一致,导致2.3.X以往版本无法升级更新及切换PHP版本后无法正常登录前台及后台。在M2.4.4中,已经修复了此问题,现在在PHP 7.4中生成的用户已经可以在PHP8.0版本中正常可用。

M1后台出现 ”Wrong field specified.“错误的解决方法

每天遇到不同的BUG,真是奇特!近日,客户在操作M1网站的时候出现以下问题,导致后台某些选项,无法保存数据。并出现此错误提示Wrong field specified花费几个小时, 后排查出问题,并修改,如有以上问题的盆友请按以下步骤操作:1、打开文件app/code/core/Mage/Adminhtml/Model/Config/Data.php修改大约430行内容从:protected fu...

M1的安全问题普通用户如何防范!

magento1系统被黑及入侵的点在哪里?1。Rss订阅系统的暴力社会工程学密码码猜测为什么第一条要说这个呢,这是一个代码框架问题决定,只要网站后台打开RSS 后台订单RSS功能,那么任何人,任何时间无限次数的可重试管理员密码。后台系统设置--RSS FeedsAdmin项Rss被打开后,所有人均可以通过http://*****.***/rss/order/new访问并重试管理密码。2。Shell...

Magento漏洞 Bug 补丁 MAGETWO-93083

该补丁为在Magento 2.2.5中检索产品属性提供了性能优化

Magento漏洞 Bug 补丁 MAGETWO-95591

此修补程序解决了商家升级到Magento 2.2.6后使用自定义属性遇到的问题。商家无法保存新创建的多选或下拉客户属性。此外,商家无法通过店面中的客户帐户编辑现有客户属性

Magento漏洞 Bug 补丁 Authorize.net Direct Post签名密钥补丁

此修补程序更新了Authorize.Net Direct Post集成以在2019年3月14日之后继续处理付款(请参阅MD5哈希寿命终止和签名密钥替换)。安装此修补程序后,还需要执行其他步骤,以确保继续使用Authorize.Net –了解更多信息从MD5更新Authorize.Net Direct Post到SHA-512

Magento漏洞 Bug 补丁 PRODSECBUG-2198

此修补程序提供了针对PRODSECBUG-2198 此处所述的SQL注入漏洞的保护。为了仅使该商店免受此漏洞的影响,请安装此修补程序。但是,要针对此漏洞和其他漏洞应用保护,您必须应用2.3.1、2.2.8或2.1.17补丁程序代码。强烈建议您尽快安装这些完整的修补程序

Magento漏洞 Bug 补丁 管理员仪表板图像图表API编辑器补丁

此修补程序替代了Magento用于所有2.x实例的已弃用的Google Image Charts服务,并将其替换为Image-Charts免费服务。Magento 2.x部署的用户将无法查看Magento 2.x实例中的静态图表,除非他们下载并应用了此补丁程序。有关更多信息,请参见从已弃用的Google图像图表切换到Magento图像图表

Magento漏洞 Bug 补丁 PRODSECBUG-2432

在Magento开源和Magento Commerce中发现了一个问题,该问题可用于公开Magento Admin面板的URL位置。尽管目前没有理由相信此问题将直接导致妥协,但是知道URL位置可以使自动进行攻击变得更加容易。为了帮助防止潜在的攻击,Magento已针对此问题发布了补丁。有关完整的详细信息,安装说明和建议,请参阅:magento.com/security/security-updat...

Magento漏洞 Bug 补丁 异步/批量API补丁的范围参数

此修补程序解决了Async和Bulk API的问题,该API在Magento的某些版本中不提供更新或创建特定商店的数据所需的信息。没有此补丁,异步/批量REST API将仅支持默认商店视图范围。受影响的Magento版本为:Magento开源v2.3.2、2.3.1

Magento漏洞 Bug PRODSECBUG-2233

未经身份验证的跨站点脚本漏洞与经过身份验证的Phar反序列化漏洞相结合,使较旧版本的Magento Commerce和Magento Open Source可供严重利用。攻击者可以利用这些漏洞将JavaScript注入Magento Admin,然后在商店用户的浏览器中启动恶意代码。我们强烈建议受影响的Magento版本的所有用户尽快下载并应用适当的补丁程序。该问题影响以下Magento版本(在P...

Magento漏洞 Bug 产品列表页面补丁的固定URL链接

此修补程序解决了Magento 2.3.3中引入的更改,这些更改导致依赖方法链合同的产品收集功能的扩展和自定义出现问题。该addAttributeToFilter方法(在file中app/code/Magento/Catalog/Model/ResourceModel/Product/Collection.php)在没有返回语句的情况下进行了重构,这破坏了在该功能的自定义中广泛使用的方法链接。此修...

Magento漏洞 Bug EmailMessageInterface向后兼容性问题补丁

此补丁解决了扩展开发人员Magento\Framework\Mail\EmailMessageInterface在Magento 2.3.3中发布引入后可能会遇到的扩展兼容性问题。在此修补程序的范围内,新的EmailMessageInterface继承自旧的MessageInterface,而核心模块又改回了依靠MessageInterface。商家应尽快应用此补丁,尤其是如果他们的部署包括使用邮...

Magento漏洞 Bug Elasticsearch 6.x修补程序上的目录分页问题

此补丁解决了Magento 2.3.3的用户在将Elasticsearch 6.x用作目录搜索引擎的部署中遇到的问题。试图浏览搜索结果首页的用户失败,Magento显示错误消息。安装此修补程序后,用户将能够分页浏览所有搜索结果。受影响的Magento版本:Magento Commerce和Open Source v2.3.3(在Prem和Cloud上)。

Magento漏洞 Bug Magento 2.3.4的区域补丁的PayPal Express Checkout问题

此补丁解决了影响通过PayPal Express Checkout下达的订单的问题,该订单的运送地址指定了一个国家区域,该国家区域已手动输入到文本字段中,而不是从“运送”页面上的下拉菜单中选择。受影响的Magento版本:Magento Commerce和Open Source v2.3.4

Magento漏洞 Bug Magento 2.3.0-2.3.2p1的数据库补丁中删除失败的登录尝试

此修补程序解决了Magento 2.3.3和2.2.10中包含的针对CVE-2019-8118(PRODSECBUG-2452)的修复所造成的长期困扰。 虽然该错误的修复程序停止了登录失败尝试的记录,但是在更新到这些当前版本之前收集的信息可能仍然存在,并且以前未修复的Magento版本可能仍然存在此问题。此修补程序清除了以前收集的登录尝试。

Magento漏洞 Bug 重新发送Magento 2.3.5的帐户确认电子邮件链接问题补丁

此修补程序解决了无法从店面帐户登录页面重新发送帐户确认电子邮件链接的问题。(此已知问题 早在Magento 2.3.5中发现。)受影响的Magento版本:Magento Commerce和开源v2.3.5 / v2.3.5-p1。

Magento漏洞 Bug 针对Magento 2.3.5-p1的付款选择了付款方式选择的Amazon Pay问题补丁

此补丁解决了在使用Amazon Pay进行结帐时无法在付款小部件中结帐“查看和付款”步骤时更改付款方式的问题。受影响的Magento版本:Magento Commerce和开源v2.3.5 / v2.3.5-p1(