La popular plataforma de ecommerce Magento, propiedad de Adobe, lanzó una actualización en el día de ayer para Magento Commerce y Magento Open Source que repara un total de nueve vulnerabilidades, dos de ellas catalogadas como críticas.
La primera de estas dos es la CVE-2020-24407, una vulnerabilidad que permite la ejecución de código arbitrario debido a un fallo en la función para subir archivos que hace que sea posible evadir un proceso de validación de la extensión de los archivos y de esta manera un atacante puede subir archivos maliciosos. Para poder explotar esta vulnerabilidad el atacante necesita privilegios de administrador, pero no necesita credenciales al no requerir autenticación previa.
La segunda vulnerabilidad crítica es la CVE-2020-24400. En este caso se trata de una vulnerabilidad de inyección SQL que permite el acceso a la base de datos con permisos de lectura y escritura. Su explotación tampoco requiere autenticación previa pero sí privilegios de administrador.
En el caso de las vulnerabilidades categorizadas como importantes de acuerdo con su severidad, cuatro de ellas (CVE-2020-24402, CVE-2020-24404, CVE-2020-24405, CVE-2020-24403) permiten la autorización indebida para: modificar listas de clientes en el caso de la primera, modificar páginas del CMS la segunda, y para acceder a recursos restringidos en el caso de las dos últimas. La explotación de ninguna de estas cuatro vulnerabilidades requiere autenticación previa, pero al igual que las dos críticas sí requieren que el atacante tenga privilegios de administrador.
Otra que se destaca es la CVE-2020-24408. Categorizada como importante, se trata de una vulnerabilidad de XSS (Cross-site-scripting) que permite la ejecución arbitraria de JavaScript en el navegador. En este caso, diferente a los fallos antes mencionados, para su explotación no se necesita que el atacante cuente con privilegios de administrador, pero sí credenciales, ya que requiere previa autenticación.
El paquete de actualizaciones que lanzó Adobe es de prioridad 2, lo que quiere decir según explica la compañía que se trata de una actualización que corrige fallos de seguridad en un producto que históricamente ha sido blanco de ataques, pero que de momento no se conocen exploits que intenten aprovecharse de los mismos. Asimismo, Adobe aclara que si bien no aseguran que efectivamente surjan exploits para estas vulnerabilidades, se recomienda instalar esta actualización lo antes posible.
Las plataformas de ecommerce suelen ser un blanco elegido por los cibercriminales para realizar principalmente ataques de web skimming —también conocidos como Magecart— a tiendas online. Tal como vimos el pasado mes de septiembre, más de 2000 tiendas creadas con Magento fueron víctimas de una campaña de web skimming que intentaban añadir scripts maliciosos para robar los datos de las tarjetas de los usuarios una vez que realizaban una compra en la tienda.