Magento es uno de los principales gestores de contenido (conocidos como CMS, por sus siglas en inglés) para portales de comercio electrónico, desarrollado en un principio por voluntarios de Varien Inc., pasando luego por las manos de eBay y, finalmente, soportado por una empresa privada con sede en California. El éxito de este motor ha sido extraordinario en los últimos años, pero su auge no está exento de algunos inconvenientes en forma de agujeros de seguridad.
El INCIBE ha publicado esta semana una alerta de seguridad de carácter “crítico” respecto a varias ediciones y herramientas de Magento, a saber: versiones de Magento Commerce desde 1.9.0.0 a 1.14.3.9, versiones de Magento Open Source desde 1.5.0.0 a 1.9.3.9 y versiones de Magento 2, tanto Commerce y Open Source anteriores a la 2.2.5.
Los incidentes de ciberseguridad en España se disparan un 6,77% en 2017
Todas ellas sufren vulnerabilidades del tipo Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) y ejecuciones remotas con permisos de administrador (RCE), entre otras. Estos agujeros permitirían, por ejemplo, que un atacante pueda acceder al sistema comprometido y ejecutar código malicioso.
Por suerte, ya existen parches oficiales que corrigen todos estos incidentes, de modo que lo único que tendremos que hacer es actualizar nuestras plataformas Magento a las últimas versiones disponibles (accesibles aquí).
Eso sí, desde el INCIBE recomiendan que antes de hacer este tipo de acciones en entornos de producción es necesario hacer pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.
