Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Nuevas versiones de Magento corrigen múltiples vulnerabilidades. ¡Actualiza tu comercio electrónico!

Fecha de publicación 27/03/2019
Importancia
5 - Crítica
Recursos Afectados

Versiones de Magento Commerce hasta 1.9.0.0 a 1.14.4.0.

Versiones de Magento Open Source hasta 1.5.0.0 a 1.9.4.0.

Versiones de Magento Commerce y Open Source anteriores a 2.3.1, 2.2.8 Y 2.1.17. 
 

Descripción

Publicadas varias actualizaciones de seguridad del gestor de contenidos de tiendas online Magento, que solucionan múltiples vulnerabilidades, entre las cuales destacan la ejecución remota de código (RCE), inyecciones SQL, Cross-site scripting (XSS) o Cross-Site Request Forgery (CSRF o XSRF).

Solución

Se recomienda instalar los parches correspondientes según se indica en las direcciones web de la sección referencias, o actualizar Magento a las últimas versiones, tanto de Commerce, como de Open Source.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, sigue el perfil de twitter @ProtegeEmpresa o nuestro Facebook y serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.

Detalle

Esta actualización corrige múltiples vulnerabilidades basadas en la inyección y ejecución de código remoto, como:

  • ejecuciones remotas de código a través de los boletines y las plantillas de correo electrónico que podrían permitir a un atacante comprometer la seguridad del gestor de contenidos y la de sus clientes;
  • inyecciones SQL con las que se podría añadir código maliciosos al gestor de contenidos para robar información confidencial o bancaria, entre otros;
  • vulnerabilidades de tipo Cross-Site Scripting (XSS) que permitirían la inyección de código malicioso en el gestor de contenidos, afectando tanto a clientes, como a administradores.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist  para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados a través de casos reales:

Mejoramos contigo. Participa en nuestra encuesta

Listado de referencias
Magento 2.3.1, 2.2.8 and 2.1.17 Security Update
Magento SUPEE-11086
Centro de descargas de Magento
Etiquetas