Seguridad

Nueva vulnerabilidad crítica en Magento, el popular CMS para e-commerce

Varias versiones antiguas de Magento sufren vulnerabilidades del tipo Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) y ejecuciones remotas con permisos de administrador (RCE). Así puedes solucionarlo y evitar sustos innecesarios…

Magento es uno de los principales gestores de contenido (conocidos como CMS, por sus siglas en inglés) para portales de comercio electrónico, desarrollado en un principio por voluntarios de Varien Inc., pasando luego por las manos de eBay y, finalmente, soportado por una empresa privada con sede en California. El éxito de este motor ha sido extraordinario en los últimos años, pero su auge no está exento de algunos inconvenientes en forma de agujeros de seguridad.

El INCIBE ha publicado esta semana una alerta de seguridad de carácter “crítico”  respecto a varias ediciones y herramientas de Magento, a saber: versiones de Magento Commerce desde 1.9.0.0 a 1.14.3.9, versiones de Magento Open Source desde 1.5.0.0 a 1.9.3.9 y versiones de Magento 2, tanto Commerce y Open Source anteriores a la 2.2.5.

Los incidentes de ciberseguridad en España se disparan un 6,77% en 2017

Todas ellas sufren vulnerabilidades del tipo Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) y ejecuciones remotas con permisos de administrador (RCE), entre otras.  Estos agujeros permitirían, por ejemplo, que un atacante pueda acceder al sistema comprometido y ejecutar código malicioso.

Por suerte, ya existen parches oficiales que corrigen todos estos incidentes, de modo que lo único que tendremos que hacer es actualizar nuestras plataformas Magento a las últimas versiones disponibles (accesibles aquí).

Eso sí, desde el INCIBE recomiendan que antes de hacer este tipo de acciones en entornos de producción es necesario hacer pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

 

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, La Razón, El Mundo, ComputerWorld, CIO España, Business Insider, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo, ganador del Premio Día de Internet 2018 a mejor marca personal en RRSS y finalista en los European Digital Mindset Awards 2016, 2017 y 2018.