Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Magento Long Term Support (CVE-2025-27400)

Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
28/02/2025
Última modificación:
16/06/2025

Descripción

Magento Long Term Support (LTS) es un proyecto no oficial impulsado por la comunidad que ofrece una alternativa a la plataforma de comercio electrónico Magento Community Edition con un alto nivel de compatibilidad con versiones anteriores. Las versiones anteriores a 20.12.3 y 20.13.1 contienen una vulnerabilidad que permite la ejecución de scripts en el panel de administración, lo que podría provocar ataques de cross-site scripting contra usuarios administradores autenticados. El ataque requiere un usuario administrador con acceso a la configuración, por lo que, en la práctica, no es muy probable que sea útil dado que un usuario con este nivel de acceso probablemente ya sea un administrador completo. Las versiones 20.12.3 y 20.13.1 contienen un parche para el problema.

Impacto

Vector 3.x
CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:N/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 2.90 BAJA
Vector: CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:N/I:L/A:L

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x
2.90
Gravedad 3.x
BAJA

Referencias a soluciones, herramientas e información