Blog }  Tecnología para las personas

Si utilizas Magento como gestor de tu comercio electrónico, deberás actualizarlo

Si utilizas Magento como gestor de tu comercio electrónico, deberás actualizarlo

Importancia

Alta

Recursos afectados

  1. Versiones de Magento Commerce de 1.9.0.0 a 1.14.4.1
  2. Versiones de Magento Open Source de 1.5.0.0 a 1.9.4.1
  3. Versiones de Magento Commerce y Open Source 2.3.3, 2.3.2-p1 y 2.2.10

Descripción

El gestor de contenidos de tiendas online, Magento, ha publicado varias actualizaciones de seguridad que dan solución a múltiples vulnerabilidades, entre las cuales destacan la ejecución remota de código (RCE), inyecciones SQL, Cross-site scripting (XSS) o Cross-Site Request Forgery (CSRF o XSRF), que permitirían que un atacante pueda acceder al sistema comprometido y ejecutar código malicioso.

Solución

Se recomienda instalar los parches correspondientes según se indica en las direcciones web de la sección referencias, o actualizar Magento a las últimas versiones, tanto de Commerce, como de Open Source.

Importante: Antes de hacer este tipo de acciones en entornos de producción, es recomendable realizar las pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

Detalle

Esta actualización corrige múltiples vulnerabilidades basadas en la inyección y ejecución de código remoto, como:

  • Ejecuciones remotas de código tanto de usuarios no autenticados que podrían realizar cargas maliciosas a través del cargador de plantillas, como de usuarios con permisos de administrador a través de la carga de archivos de configuración o de diseños de páginas o productos.
  • Inyecciones SQL, mediante las cuales un usuario autenticado con acceso a las plantillas de correo electrónico podría añadir código maliciosos para robar todo tipo de información confidencial contenida, como datos personales o bancarios, entre otros.
  • Vulnerabilidades de tipo Cross-Site Scripting (XSS) que permitirían la inyección de código malicioso en el gestor de contenidos.
  • Un fallo del tipo «falsificación de petición en sitios cruzados» o CSRF (del inglés Cross Site Request Forgery) que podría permitir que un atacante ejecutara código arbitrario o realizara otro tipo de acciones no autorizadas.