Si vous administrez un shop via magento ⚠️ Une faille critique vise les boutiques en ligne sous Magento et Adobe Commerce.
-
RE: https://infosec.exchange/@_r_netsec/116294764798365020
Si vous administrez un shop via magento
️ Une faille critique vise les boutiques en ligne sous Magento et Adobe Commerce.
Elle est déjà exploitée en masse sur internet par des cybercriminels pour compromettre des sites et voler des données bancaires.Adobe a publié un correctif dans une version bêta le 10 mars 2026 (version 2.4.9-beta1 https://experienceleague.adobe.com/en/docs/commerce-operations/release/notes/adobe-commerce/2-4-9?lang=en#highlights-in-v249-beta1 ) , mais pas encore pour les versions de production.
En attendant, il faut limiter l’accès au dossier "pub/media/custom_options/" et éventuellement, là ou justifié et possible déployer un pare-feu applicatif réseau ou spécialisé , par ex. Sansec, pour bloquer ces attaques.
-
R relay@relay.infosec.exchange shared this topic
-
RE: https://infosec.exchange/@_r_netsec/116294764798365020
Si vous administrez un shop via magento
️ Une faille critique vise les boutiques en ligne sous Magento et Adobe Commerce.
Elle est déjà exploitée en masse sur internet par des cybercriminels pour compromettre des sites et voler des données bancaires.Adobe a publié un correctif dans une version bêta le 10 mars 2026 (version 2.4.9-beta1 https://experienceleague.adobe.com/en/docs/commerce-operations/release/notes/adobe-commerce/2-4-9?lang=en#highlights-in-v249-beta1 ) , mais pas encore pour les versions de production.
En attendant, il faut limiter l’accès au dossier "pub/media/custom_options/" et éventuellement, là ou justifié et possible déployer un pare-feu applicatif réseau ou spécialisé , par ex. Sansec, pour bloquer ces attaques.
"E-commerce : une image SVG est utilisée pour voler les données bancaires"
https://www.it-connect.fr/e-commerce-une-image-svg-est-utilisee-pour-voler-les-donnees-bancaires/ -
R relay@relay.infosec.exchange shared this topic
-
"E-commerce : une image SVG est utilisée pour voler les données bancaires"
https://www.it-connect.fr/e-commerce-une-image-svg-est-utilisee-pour-voler-les-donnees-bancaires/"In the early hours of April 7th, nearly 100 Magento stores got mass-infected with a "double-tap" skimmer: a credit card stealer hidden inside an invisible SVG element. Sansec found stolen payment data flowing to six exfiltration domains, five of which are previously unknown. The likely entry vector is the PolyShell vulnerability that continues to affect unprotected Magento stores."
[new IoCs inside]
https://sansec.io/research/svg-onload-magecart-skimmer
