Noticias

Descubiertas graves vulnerabilidades en el e-commerce Magento

Publicado

Hace 9 años

en

Se ha descubierto una serie de vulnerabilidades críticas de XSS (cross-site scripting) en Magento, que obligan a todos los que estén usando este e-commerce a actualizar cuanto antes, debido a que corren un serio riesgo.

Las vulnerabilidades afectan a las versiones Community Edition 1.9.2.2 y anteriores y a la Enterprise Edition 1.14.2.2, abarcando también las versiones anteriores. Las vulnerabilidades en XSS permiten a un atacante poder secuestrar la tienda a través de las siguientes acciones:

  • Tomar el control de la tienda online basada en Magento.
  • Realizar escaladas de privilegio en el CMS.
  • Desviar información de los clientes.
  • Robar información de las tarjetas de crédito.
  • Controlar el sitio web a través de las cuentas de administrador que estén configuradas.

Estos problemas de seguridad de XSS son fáciles de explotar. El atacante solo necesita introducir un código JavaScript en los formularios de registro del cliente, en el campo que corresponde al correo electrónico. Después de esto, Magento ejecuta el email con el código JavaScript malicioso en el contexto de una cuenta de administrador, permitiendo al atacante robar la sesión de administrador y tomar el control del servidor que ejecuta el mencionado CMS.

Según la firma de ciberseguridad Sucuri, “el fragmento de código erróneo dentro de Magento está en las librerías principales, sobre todo en el backend del administrador. Al menos que esté detrás de una aplicación firewall de web (WAF) o el panel de administrador esté muy modificado, usted está en peligro”.

Los parches ya están disponibles

Por suerte los parches para corregir estas vulnerabilidades ya han sido liberados, y para obtenerlos solo hay que actualizar Magento a las versiones de mantenimiento 1.9.2.3 en la Community Edition y 1.14.2.3 en la Enterprise Edition.

Magento es uno de los CMS de e-commerce más utilizado del mundo, por lo que millones de tiendas electrónicas pueden estar en peligro debido a las vulnerabilidades descubiertas.

Relacionados:

Lo más leído

Salir de la versión móvil