Detectadas nuevas vulnerabilidades en el gestor de tiendas online Magento

Magento ha publicado actualizaciones de seguridad que solventan múltiples vulnerabilidades con las que un atacante podría acceder al sistema comprometido y ejecutar código malicioso.

El INCIBE alerta de una incidencia de seguridad “alta” en torno al gestor de contenidos Magento, uno de los más empleados a la hora de construir portales de comercio electrónico.

En concreto, el instituto leonés avisa de que se han publicado actualizaciones de seguridad para este CMS en el que se solucionan múltiples vulnerabilidades que permitirían, entre otras, que un atacante pueda acceder al sistema comprometido y ejecutar código malicioso.

Esta actualización corrige problemas de seguridad como vulnerabilidades del tipo Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) y ejecuciones remotas con permisos de administrador (RCE), entre otras. Los recursos afectados son las versiones de Magento Commerce (desde 1.9.0.0 a 1.14.4.0) y las versiones de Magento Open Source (desde 1.5.0.0 a 1.9.4.0).

La solución, siempre según el organismo público, es actualizar Magento a las últimas versiones, tanto de Commerce, como de Open Source, disponibles en el mercado. Eso sí, antes de hacer este tipo de acciones en entornos de producción, es necesario hacer pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

Este mismo junio, el INCIBE ya publicó otra alerta de seguridad respecto a varias ediciones y herramientas de Magento, a saber: versiones de Magento Commerce desde 1.9.0.0 a 1.14.3.9, versiones de Magento Open Source desde 1.5.0.0 a 1.9.3.9 y versiones de Magento 2, tanto Commerce y Open Source anteriores a la 2.2.5. Todas ellas sufren vulnerabilidades del tipo Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) y ejecuciones remotas con permisos de administrador (RCE), entre otras.

Escrito por Alberto Iglesias Fraga

You May Also Like

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.