Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Nueva actualización de seguridad de Magento

Fecha de publicación 26/03/2020
Importancia
3 - Media
Recursos Afectados
  • Magento Open Source y Magento Commerce (on-premise y Cloud), versiones 2.3.x, 2.2.x y anteriores.
Descripción

El gestor de contenidos de tiendas online, Magento, ha publicado una actualización de seguridad para las ediciones Magento Commerce (on-premise y Cloud), que da solución a una vulnerabilidad que permitía que los intentos de acceso fallidos al gestor de contenidos se registraran en una tabla de la base de datos.

Solución

El gestor de contenidos de tiendas online, Magento, ha publicado una actualización de seguridad para las ediciones Magento Commerce (on-premise y Cloud), que da solución a una vulnerabilidad que permitía que los intentos de acceso fallidos al gestor de contenidos se registraran en una tabla de la base de datos.

  • Magento Commerce y Magento Open Source, versiones 2.3.0-2.3.2-p2: para estas versiones se debe aplicar el parche y ejecutar el script de limpieza de la base de datos.
  • Magento Commerce y Magento Open Source, versiones 2.3.3 y superiores/2.2.10 y superiores: para estas versiones solo se ejecuta el script que borra los registros antiguos.

Tanto las descargas del parche como del script se encuentran disponibles en el aviso publicado por Magento, así como las instrucciones detalladas para llevar a cabo todo el proceso.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 017.

 

Detalle

Un error existente en versiones de Magento 2.3.x, 2.2.x y anteriores permitía que los intentos de acceso fallidos se registraran en una tabla de la base de datos. En respuesta, Magento incluyó una solución a este problema en las versiones 2.3.3 y 2.2.10 (publicadas en octubre de 2019). Aunque la corrección de ese error detuvo el registro de intentos fallidos, la información que se recopiló antes de la actualización a estas versiones actuales puede seguir existiendo. Esta corrección más reciente borra la información de cualquier intento de acceso que se haya registrado previamente.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist para evitar posibles ataques de ciberdelincuentes. Algunos de ellos te los explicamos a través de casos reales:

Mejoramos contigo. Participa en nuestra encuesta

Listado de referencias
Hot fix available for CVE-2019-8118
Remove failed login attempts from the database
Etiquetas