Seguridad

Detectadas nuevas vulnerabilidades en el gestor de tiendas online Magento

Magento ha publicado actualizaciones de seguridad que solventan múltiples vulnerabilidades con las que un atacante podría acceder al sistema comprometido y ejecutar código malicioso.

El INCIBE alerta de una incidencia de seguridad “alta” en torno al gestor de contenidos Magento, uno de los más empleados a la hora de construir portales de comercio electrónico.

En concreto, el instituto leonés avisa de que se han publicado actualizaciones de seguridad para este CMS en el que se solucionan múltiples vulnerabilidades que permitirían, entre otras, que un atacante pueda acceder al sistema comprometido y ejecutar código malicioso.

Esta actualización corrige problemas de seguridad como vulnerabilidades del tipo Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) y ejecuciones remotas con permisos de administrador (RCE), entre otras. Los recursos afectados son las versiones de Magento Commerce (desde 1.9.0.0 a 1.14.4.0) y las versiones de Magento Open Source (desde 1.5.0.0 a 1.9.4.0).

Los incidentes de ciberseguridad en España se disparan un 6,77% en 2017

La solución, siempre según el organismo público, es actualizar Magento a las últimas versiones, tanto de Commerce, como de Open Source, disponibles en el mercado. Eso sí, antes de hacer este tipo de acciones en entornos de producción, es necesario hacer pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

Este mismo junio, el INCIBE ya publicó otra alerta de seguridad respecto a varias ediciones y herramientas de Magento, a saber: versiones de Magento Commerce desde 1.9.0.0 a 1.14.3.9, versiones de Magento Open Source desde 1.5.0.0 a 1.9.3.9 y versiones de Magento 2, tanto Commerce y Open Source anteriores a la 2.2.5. Todas ellas sufren vulnerabilidades del tipo Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) y ejecuciones remotas con permisos de administrador (RCE), entre otras.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, La Razón, El Mundo, ComputerWorld, CIO España, Business Insider, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo, ganador del Premio Día de Internet 2018 a mejor marca personal en RRSS y finalista en los European Digital Mindset Awards 2016, 2017 y 2018.