Si utilizas Magento para tu comercio electrónico, ¡actualiza!

Fecha de publicación 26/06/2019

Importancia

5 - Crítica

Recursos Afectados

Versiones de Magento Commerce de 1.9.0.0 a 1.14.4.1;
Versiones de Magento Open Source de 1.5.0.0 a 1.9.4.1;
Versiones de Magento Commerce y Open Source anteriores a 2.3.2, 2.2.9 y 2.1.18.

Descripción

El gestor de contenidos de tiendas online, Magento, ha publicado varias actualizaciones de seguridad que dan solución a múltiples vulnerabilidades.

Solución

Se recomienda instalar los parches correspondientes según se indica en las direcciones web de la sección referencias, o actualizar Magento a las últimas versiones, tanto de Commerce, como de Open Source.

Importante: antes de hacer este tipo de acciones en entornos de producción, es recomendable realizar pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

Nota: la versión 2.1.18 es la última versión de Magento 2.1.x. Después del 30/06/2019 Magento 2.1.x no recibirá más actualizaciones de seguridad, ni de corrección de errores.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.

Detalle

Esta actualización corrige múltiples vulnerabilidades, entre otras:

un usuario autenticado con privilegios podría ejecutar código a través de inyección objetos PHP, carga de archivos csv, diseños XML maliciosos o plantillas del email, entre otras.
un atacante podría ejecutar comandos SQL que permitirían accesos a la base de datos, ofreciendo la posibilidad de robar todo tipo de información en ella contenida;
usuarios no autenticados podrían asignarse privilegios y acceder a información confidencial, realizar cambios de configuración y eliminar controles de seguridad;
vulnerabilidades de tipo Cross-site scripting (XSS) del panel de administración que permitirían la inyección de código malicioso en el gestor de contenidos, afectando tanto a clientes, como a administradores.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados a través de casos reales: