资安业者Sansec提出警告，他们看到有人使用新型态的手法，于资料库里加入伪造的版面（Layout ）范本，从而在Magento电子商城自动注入恶意程式，以便持续对受害网站发动攻击。

研究人员指出，攻击者同时滥用Magento的版面解析器与beberlei/assert套件，从而能够于伺服器上执行系统层级的命令。由于版面区块与结帐车功能相连，因此只要收到<store>/checkout/cart的请求，就会触发攻击者的命令。他们看到攻击者使用sed命令，于CMS控制器自动加入后门程式并执行。

此外，他们还看到攻击者注入冒牌的Stripe支付侧录器，盗取付款资料的情况。

上述被利用的Magento弱点，被登记为CVE-2024-20720列管，CVSS风险评为9.1分。Adobe于2月13日发布新版Adobe Commerce、Magento Open Source予以修补，研究人员呼吁IT人员应尽速套用相关更新。