Magento原厂近日发布了一个与Zend Framework 1和2的Email元件相关的安全性漏洞。包括Magento 1.x和Magento 2.x
在内的许多PHP解决方案都使用了这个元件。如果您的服务器使用Sendmail作为邮件传输代理的话,这个严重的漏洞可导致
恶意的黑客使用远端代码执行攻击。
要保护您的网站免受此漏洞的影响,您应该立即检查邮件发送设定。请到您的Magento商店后台修改以下回复邮件地址的
设定:
System-> Configuration-> Advanced-> System-> Mail Sending Settings-> Set Return-Path
如果您的后台语言界面是中文的,您可以参考以下的路径,但还是建议以英文为主以免造成误解:
系统- >配置- >高级- >系统- >邮件发送设置- >设置返回路径
如果“Set Return-Path(设置返回路径)”设定为“Yes/是”且您的服务器使用Sendmail功能,那么您的商店就属于暴露在此
漏洞之下的网站。企业云版客户不需要担心这个问题。Magento原厂已经检查过您的配置没有风险。
虽然还没有观察到有透过此漏洞进行的攻击案件,但该漏洞还是有非常高的风险。我们强烈建议您在Magento原厂释出
安全性补丁之前,无论您有无使用邮件传输代理都应该将“Set Return-Path/设置返回路径”设定关闭(切换到“No/否”)。
Magento原厂目前正在努力提供补丁来关闭此一漏洞,补丁预计在几个星期内被释出。
麦进斗科技是国内顶尖开发Magento电商网站的专业团队,为诸多国际品牌公司和跨境贸易商户打造B2B, B2C等各种功能性
网站,针对国内市场,对 Magento进行了改进和调整,包括中文汉化,帐户管理,地址格式本土化,对结账流程的支持,
对国内常用支付接口的支持,对物流配送的支持等,让用户使用起来得心应手,打造高度灵活的企业级电子商务平台,
让中小企业用国际顶级的电商系统magento将自己的产品更好的销往全球不再是问题。
