Global Preloader
Vulnerabilidad
(05/Oct/2017) Corrección de diversas vulnerabilidades en Magento

Corrección de diversas vulnerabilidades en Magento

DefenseCode ha publicado código de prueba de concepto para dos vulnerabilidades CSRF y XSS almacenadas que afectan a varias versiones de la popular plataforma de comercio electrónico Magento.

Magento es una plataforma de código abierto que ofrece a los comerciantes el control sobre sus tiendas en línea y un sistema de carrito de compras, así como herramientas para mejorar la visibilidad y la gestión de la tienda.

El investigador de seguridad Bosko Stankovic descubrió las fallas de seguridad durante una auditoría de seguridad de Magento Open Source (anteriormente Community Edition, o ED) y Magento Commerce, la plataforma de la compañía como una oferta de servicios. Se informó al equipo de seguridad del vendedor, y desde entonces han sido corregidas, junto con una docena de otras vulnerabilidades.

En ese momento no se conocían ataques conocidos que explotaran estos errores, pero con el lanzamiento de los atacantes de código PoC podrían intentar desarrollar exploits y lanzarlos. Por lo tanto, si está ejecutando una de las 200.000 tiendas Magento y aún no ha actualizado su instalación, ahora es el momento de hacerlo.

La explotación de las dos vulnerabilidades podría dar lugar a la adquisición de cuenta de administrador, y en última instancia, dar lugar a robo de información de pago del cliente.

Las vulnerabilidades afectan:

  • Magento CE 1 antes de 1.9.3.6
  • Magento Commerce antes de 1.14.3.6
  • Magento 2.0 antes de 2.0.16
  • Magento 2.1. antes de 2.1.9