Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Si utilizas Magento para tu comercio electrónico, ¡actualiza!

Fecha de publicación 26/06/2019
Importancia
5 - Crítica
Recursos Afectados
  • Versiones de Magento Commerce de 1.9.0.0 a 1.14.4.1;
  • Versiones de Magento Open Source de 1.5.0.0 a 1.9.4.1;
  • Versiones de Magento Commerce y Open Source anteriores a 2.3.2, 2.2.9 y 2.1.18. 
     
Descripción

El gestor de contenidos de tiendas online, Magento, ha publicado varias actualizaciones de seguridad que dan solución a múltiples vulnerabilidades. 

Solución

Se recomienda instalar los parches correspondientes según se indica en las direcciones web de la sección referencias, o actualizar Magento a las últimas versiones, tanto de Commerce, como de Open Source.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.
 

Detalle

Esta actualización corrige múltiples vulnerabilidades, entre otras:

  • un usuario autenticado con privilegios podría ejecutar  código a través de inyección objetos PHP, carga de archivos csv, diseños XML maliciosos o plantillas del email, entre otras.
  • un atacante podría ejecutar comandos SQL que permitirían accesos a la base de datos, ofreciendo la posibilidad de robar todo tipo de información en ella contenida;
  • usuarios no autenticados podrían asignarse privilegios y  acceder a información confidencial, realizar cambios de configuración y eliminar controles de seguridad;
  • vulnerabilidades de tipo Cross-site scripting (XSS) del panel de administración que permitirían la inyección de código malicioso en el gestor de contenidos, afectando tanto a clientes, como a administradores.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados a través de casos reales:

Mejoramos contigo. Participa en nuestra encuesta

Listado de referencias
Magento 2.3.2, 2.2.9 and 2.1.18 Security Update 1/3
Magento 2.3.2, 2.2.9 and 2.1.18 Security Update 2/3
Magento 2.3.2, 2.2.9 and 2.1.18 Security Update 3/3
Magento SUPEE-11155
Centro de descargas de Magento
Etiquetas