Si utilizas Magento como gestor de tu comercio electrónico, deberás actualizarlo

Fecha de publicación 09/10/2019
Importancia
5 - Crítica
Recursos Afectados
  • Versiones de Magento Commerce de 1.9.0.0 a 1.14.4.1
  • Versiones de Magento Open Source de 1.5.0.0 a 1.9.4.1
  • Versiones de Magento Commerce y Open Source 2.3.3, 2.3.2-p1 y 2.2.10
Descripción

El gestor de contenidos de tiendas online, Magento, ha publicado varias actualizaciones de seguridad que dan solución a múltiples vulnerabilidades, entre las cuales destacan la ejecución remota de código (RCE), inyecciones SQL, Cross-site scripting (XSS) o Cross-Site Request Forgery (CSRF o XSRF), que permitirían que un atacante pueda acceder al sistema comprometido y ejecutar código malicioso.

Solución

Se recomienda instalar los parches correspondientes según se indica en las direcciones web de la sección referencias, o actualizar Magento a las últimas versiones, tanto de Commerce, como de Open Source.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.
 

Detalle

Esta actualización corrige múltiples vulnerabilidades basadas en la inyección y ejecución de código remoto, como:

  • Ejecuciones remotas de código tanto de usuarios no autenticados que podrían realizar cargas maliciosas a través del cargador de plantillas, como de usuarios con permisos de administrador a través de la carga de archivos de configuración o de diseños de páginas o productos. 
  • Inyecciones SQL, mediante las cuales un usuario autenticado con acceso a las plantillas de correo electrónico podría añadir código maliciosos para robar todo tipo de información confidencial contenida, como datos personales o bancarios, entre otros.
  • Vulnerabilidades de tipo Cross-Site Scripting (XSS) que permitirían la inyección de código malicioso en el gestor de contenidos.
  • Un fallo del tipo «falsificación de petición en sitios cruzados» o CSRF (del inglés Cross Site Request Forgery) que podría permitir que un atacante ejecutara código arbitrario o realizara otro tipo de acciones no autorizadas.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist  para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados a través de casos reales:

Mejoramos contigo. Participa en nuestra encuesta