ChannelBiz

Magento, una de las plataformas para el comercio electrónico más utilizadas, ha recibido una actualización de seguridad que debería aplicarse tan pronto como sea posible después de que la compañía haya parcheado vulnerabilidades críticas.

Uno de los fallos críticos solucionados es una vulnerabilidad XSS (cross-site scripting) que permitiría que un atacante pudiera secuestrar sites basados en Magendo, escalar privilegios de usuario, robar datos de los clientes y controla el site a través de las cuentas de administrador.

La primera vulnerabilidad, que afecta a Magento CE (Community Edition) 1.9.2.3 y Magento EE (Enterprise Edition) 1.14.2.3, y versiones anteriores de ambos, puede ser explotada de forma remota. El fallo se puede explotar a través de un email con un Javascript malicioso enviado a través de la plataforma CMS. Asegura Magento que el código malicioso embebido en el correo electrónico sería capaz de robar la sesión de administrador.

El segundo fallo crítico se encuentra en la sección de comentarios de Magento CMS. Además, la actualización de seguridad incluye otros 19 parches que solucionan otros problemas relacionados con fugas de información basados en RSS, debilidades ante ataques de fuerza bruta, la falta de protección en la página Admin Login que permitiría falsificar peticiones, así como problemas de denegación de servicio, entre otros.

Magento, cuyo CMS es utilizado por más de 200.000 compañías, ha pedido a los administradores que actualicen y apliquen los parches tan pronto como sea posible.