martes, 20 de octubre de 2020

Se encuentran varias vulnerabilidades en Magento

Magento vulnerabilidades

      Los investigadores han descubierto hace poco que la aplicación Magento contiene varias vulnerabilidades, de las cuales dos de ellas están catalogadas como críticas. La primera vulnerabilidad critica es la identificada como CVE-2020-24407, la cual permite a un atacante la posibilidad de subir ficheros maliciosos a la plataforma saltándose los mecanismos que validan las extensiones en los ficheros.

La segunda vulnerabilidad critica identificada por CVE-2020-24400, es una vulnerabilidad SQL Injection que permite a un atacante acceso de escritura o lectura en la base de datos. Según han informado los investigadores en ambos casos es necesario tener privilegios de administrador, aunque no es necesario una autenticación previa.

Además de las vulnerabilidades críticas, se han reportado seis vulnerabilidades importantes y una de severidad moderada. A continuación, se listan las vulnerabilidades reportadas:

  • CVE-2020-24401, CVE-2020-24403 y CVE-2020-24405: Vulnerabilidad que permitía a un atacante acceder a recursos restringidos.
  • CVE-2020-24402: Vulnerabilidad que permitía al atacante modificación no autorizada en la lista de los clientes.
  • CVE-2020-24404: Vulnerabilidad que permitía al atacante modificar sin autorización las páginas CMS de Magento.
  • CVE-2020-24406: Vulnerabilidad que permitía la divulgación de información confidencial, solo la información del directorio raíz.
  • CVE-2020-24408: Vulnerabilidad que permitía al atacante la ejecución de código Javascript en el navegador.

A excepción de la vulnerabilidad Cross-site Scripting etiquetada como CVE-2020-24408 que es necesario el tener credenciales, el resto de las vulnerabilidades no necesitan de credenciales, pero si es necesario permisos de administrador.

Todas las vulnerabilidades mencionadas han sido corregidas por adobe en sus últimas versiones las cuales están disponibles en la página oficial.


No hay comentarios:

Publicar un comentario