Actualización de seguridad crítica para Magento

Negocios

Magento ha lanzado una actualización de seguridad que soluciona una veintena de fallos, entre ellos varias vulnerabilidades XXS, que permitirían tomar el control de las cuentas.

Magento, una de las plataformas para el comercio electrónico más utilizadas, ha recibido una actualización de seguridad que debería aplicarse tan pronto como sea posible después de que la compañía haya parcheado vulnerabilidades críticas.

Uno de los fallos críticos solucionados es una vulnerabilidad XSS (cross-site scripting) que permitiría que un atacante pudiera secuestrar sites basados en Magendo, escalar privilegios de usuario, robar datos de los clientes y controla el site a través de las cuentas de administrador.

La primera vulnerabilidad, que afecta a Magento CE (Community Edition) 1.9.2.3 y Magento EE (Enterprise Edition) 1.14.2.3, y versiones anteriores de ambos, puede ser explotada de forma remota. El fallo se puede explotar a través de un email con un Javascript malicioso enviado a través de la plataforma CMS. Asegura Magento que el código malicioso embebido en el correo electrónico sería capaz de robar la sesión de administrador.

El segundo fallo crítico se encuentra en la sección de comentarios de Magento CMS. Además, la actualización de seguridad incluye otros 19 parches que solucionan otros problemas relacionados con fugas de información basados en RSS, debilidades ante ataques de fuerza bruta, la falta de protección en la página Admin Login que permitiría falsificar peticiones, así como problemas de denegación de servicio, entre otros.

Magento, cuyo CMS es utilizado por más de 200.000 compañías, ha pedido a los administradores que actualicen y apliquen los parches tan pronto como sea posible.

Lea también :

Leer la biografía del autor  Ocultar la biografía del autor