Seguridad Magento: vulnerabilidad de inyección y ejecución de código remoto

Ayer día 08/10/19 se publicaron varias vulnerabilidades de seguridad en Magento que afectan a diferentes versiones de este famoso gestor de contenidos de e-commerce.

Las versiones de Magento afectadas son Magento Commerce 1.9.0.0 a 1.14.4.1, Magento Open Source de 1.5.0.0 a 1.9.4.1 y Magento Commerce / Magento Open Source 2.3.3, 2.3.2-p1 y 2.2.10.

¿A qué afecta estas vulnerabilidades de seguridad en Magento?

Según explican en el Centro de Seguridad de Magento, se permite ejecución remota de código por parte de diferentes tipos de usuario (autenticados o no, depende del caso concreto) a través de diferentes métodos como la carga de ficheros de configuración, manipulación de layouts e imágenes…

Y no sólo eso, sino que también se permiten inyecciones SQL que podrían permitir añadir códigos maliciosos para robar información confidencial de usuarios (este punto es bastante crítico en un e-commerce).

También se detectan vulnerabilidades XSS (Cross-Site Scripting) que permiten inyección de código malicioso en el gestor de contenidos mediante código JavaScript.

Por último, también han detectado vulnerabilidades del tipo CSRF (Cross Site Request Forgery) que permite a un atacante ejecutar código arbitrario o acciones no autorizadas.

En definitiva, suficientes vulnerabilidades críticas que no conviene pasar por alto.

No esperes a actualizar tu e-commerce Magento

Tu e-commerce Magento está en peligro, no esperes demasiado a actualizarlo. Un ataque que utilice algunas de estas vulnerabilidades puede comprometer tu e-commerce, tus clientes… y en definitiva, tu negocio.

Desde DYN-O aconsejamos actualizar Magento con urgencia.

Y aprovechamos para recordarte que nuestro Hosting Profesional de Tiendas Online ya incluye todas las actualizaciones de seguridad de Magento

¿Hablamos?