Nuevas versiones de Magento corrigen múltiples vulnerabilidades. ¡Actualiza tu comercio electrónico!

Fecha de publicación 27/03/2019

Importancia

5 - Crítica

Recursos Afectados

Versiones de Magento Commerce hasta 1.9.0.0 a 1.14.4.0.

Versiones de Magento Open Source hasta 1.5.0.0 a 1.9.4.0.

Versiones de Magento Commerce y Open Source anteriores a 2.3.1, 2.2.8 Y 2.1.17.

Descripción

Publicadas varias actualizaciones de seguridad del gestor de contenidos de tiendas online Magento, que solucionan múltiples vulnerabilidades, entre las cuales destacan la ejecución remota de código (RCE), inyecciones SQL, Cross-site scripting (XSS) o Cross-Site Request Forgery (CSRF o XSRF).

Solución

Se recomienda instalar los parches correspondientes según se indica en las direcciones web de la sección referencias, o actualizar Magento a las últimas versiones, tanto de Commerce, como de Open Source.

Importante: Antes de hacer este tipo de acciones en entornos de producción, es recomendable realizar las pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, sigue el perfil de twitter @ProtegeEmpresa o nuestro Facebook y serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.

Detalle

Esta actualización corrige múltiples vulnerabilidades basadas en la inyección y ejecución de código remoto, como:

ejecuciones remotas de código a través de los boletines y las plantillas de correo electrónico que podrían permitir a un atacante comprometer la seguridad del gestor de contenidos y la de sus clientes;
inyecciones SQL con las que se podría añadir código maliciosos al gestor de contenidos para robar información confidencial o bancaria, entre otros;
vulnerabilidades de tipo Cross-Site Scripting (XSS) que permitirían la inyección de código malicioso en el gestor de contenidos, afectando tanto a clientes, como a administradores.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados a través de casos reales:

Listado de referencias

Magento 2.3.1, 2.2.8 and 2.1.17 Security Update

Magento SUPEE-11086

Centro de descargas de Magento

Etiquetas