Lanzamiento de la actualización de Magento que corrige errores críticos que afectan a los sitios de comercio electrónico

Magento

El martes, Adobe publicó actualizaciones de seguridad para abordar varias vulnerabilidades críticas en su plataforma de comercio electrónico Magento que un atacante podría explotar para ejecutar código arbitrario y tomar el control de un sistema vulnerable.

Los problemas están relacionados con 2.3.7, 2.4.2-p1, 2.4.2 y versiones anteriores de Magento Commerce y 2.3.7, 2.4.2-p1 y todas las versiones anteriores de la edición Magento Open Source. De las 26 deficiencias abordadas, 20 se califican como críticas y seis como importantes en términos de gravedad. Ninguna de las vulnerabilidades de Adobe figura como conocida públicamente o bajo ataque activo en el momento de este comunicado.

Los errores más interesantes son los siguientes:

  • CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36040, CVE-2021, 21-041, CVE-2021 y 21041, 21041 y 21041 (Puntuación CVSS: 9.1) – Ejecución de código arbitrario debido a una validación de entrada incorrecta
  • CVE-2021-36022 y CVE-2021-36023 (Puntuación CVSS: 9.1) – Ejecución de código arbitrario debido a la entrada de comandos del sistema operativo
  • CVE-2021-36028 y CVE-2021-36033 (Puntuación CVSS: 9.1) – Ejecución de código arbitrario debido a la incrustación de XML
  • CVE-2021-36036 (Puntuación CVSS: 9.1) – Ejecución de código arbitrario debido a un control de acceso incorrecto
  • CVE-2021-36029 (Puntuación CVSS: 9.1) – Omitir funciones de seguridad
  • CVE-2021-36032 (Puntuación CVSS: 8.3) – Permisos de escalamiento
  • CVE-2021-36020 (Puntuación CVSS: 8.2) – Ejecución de código arbitrario debido a la incrustación de XML
  • CVE-2021-36043 (Puntuación CVSS: 8.0) – Ejecución de código arbitrario debido a una solicitud falsificada del servidor (SSRF)
  • CVE-2021-36044 (Puntuación CVSS: 7,5) – Denegación de servicio de la aplicación
  • CVE-2021-36030 (Puntuación CVSS: 7,5) – Omitir funciones de seguridad
  • CVE-2021-36031 (Puntuación CVSS: 7.2) – Ejecución de código arbitrario debido a la ruta transversal

Un adversario podría aprovechar la explotación exitosa de las vulnerabilidades anteriores antes de la autenticación para aumentar los permisos y ejecutar código malicioso, lo que permite que el actor de amenazas tome el control de Magento y su servidor.

Se recomienda encarecidamente a los usuarios que descarguen e instalen rápidamente los parches adecuados para mitigar los riesgos asociados con los errores.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática