Lanzamiento de la actualización de Magento que corrige errores críticos que afectan a los sitios de comercio electrónico

Noticias 24 de enero de 2022

Magento

El martes, Adobe publicó actualizaciones de seguridad para abordar varias vulnerabilidades críticas en su plataforma de comercio electrónico Magento que un atacante podría explotar para ejecutar código arbitrario y tomar el control de un sistema vulnerable.

Los problemas están relacionados con 2.3.7, 2.4.2-p1, 2.4.2 y versiones anteriores de Magento Commerce y 2.3.7, 2.4.2-p1 y todas las versiones anteriores de la edición Magento Open Source. De las 26 deficiencias abordadas, 20 se califican como críticas y seis como importantes en términos de gravedad. Ninguna de las vulnerabilidades de Adobe figura como conocida públicamente o bajo ataque activo en el momento de este comunicado.

Los errores más interesantes son los siguientes:

  • CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36040, CVE-2021, 21-041, CVE-2021 y 21041, 21041 y 21041 (Puntuación CVSS: 9.1) – Ejecución de código arbitrario debido a una validación de entrada incorrecta
  • CVE-2021-36022 y CVE-2021-36023 (Puntuación CVSS: 9.1) – Ejecución de código arbitrario debido a la entrada de comandos del sistema operativo
  • CVE-2021-36028 y CVE-2021-36033 (Puntuación CVSS: 9.1) – Ejecución de código arbitrario debido a la incrustación de XML
  • CVE-2021-36036 (Puntuación CVSS: 9.1) – Ejecución de código arbitrario debido a un control de acceso incorrecto
  • CVE-2021-36029 (Puntuación CVSS: 9.1) – Omitir funciones de seguridad
  • CVE-2021-36032 (Puntuación CVSS: 8.3) – Permisos de escalamiento
  • CVE-2021-36020 (Puntuación CVSS: 8.2) – Ejecución de código arbitrario debido a la incrustación de XML
  • CVE-2021-36043 (Puntuación CVSS: 8.0) – Ejecución de código arbitrario debido a una solicitud falsificada del servidor (SSRF)
  • CVE-2021-36044 (Puntuación CVSS: 7,5) – Denegación de servicio de la aplicación
  • CVE-2021-36030 (Puntuación CVSS: 7,5) – Omitir funciones de seguridad
  • CVE-2021-36031 (Puntuación CVSS: 7.2) – Ejecución de código arbitrario debido a la ruta transversal

Un adversario podría aprovechar la explotación exitosa de las vulnerabilidades anteriores antes de la autenticación para aumentar los permisos y ejecutar código malicioso, lo que permite que el actor de amenazas tome el control de Magento y su servidor.

Se recomienda encarecidamente a los usuarios que descarguen e instalen rápidamente los parches adecuados para mitigar los riesgos asociados con los errores.

Continua leyendo

La policía investiga un ‘incidente cibernético’ en el grupo médico de Guernsey

El ransomware GandCrab y el virus Ursnif se propagan a través de macros de MS Word

Investigadores lanzan herramienta que encuentra robots vulnerables en Internet

Nuevo exploit amenaza a más de 9000 enrutadores Cisco RV320 / RV325 hackeables en todo el mundo

El nuevo error de FaceTime permite que las personas que llaman lo escuchen y lo vean sin que usted responda

La policía cerró xDedic: un mercado en línea para los ciberdelincuentes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática

Thanks, I’m not interested