Grave bug en Magento permite tomar el control a atacantes

Publicado el en la categoría Aplicaciones, General, Seguridad

Un grave bug que afecta a todas las versiones de Magento previas a la 1.9.2.3 (Community Edition) y a la 1.14.2.3 (Enterprise) ha puesto en riesgo millones de instalaciones del popular CMS según Sucuri, empresa de seguridad que lo ha descubierto y reportado.

La vulnerabilidad permite que un atacante use técnicas de XSS e inyecte código Javascript maliciso dentro de los formularios de registro de cliente, que Magento ejecuta con permisos de administrador posibilitando que el atacante tome el control del sitio, ya que puede ejecutar cualquier cosa que un administrador legítimo puede, como crear más cuentas de administrador, obtener datos privados de clientes, etc.

El fallo está en las librerías que forman el nucleo de Magento, concretamente en las que gestionan el apartado de administradores. Este tipo de vulnerabilidad aparece cuando una aplicación no limpia correctamente lo información que recibe por parte de los usuarios.

El bug ha sido ya parcheado, por lo que la solución es actualizar las instalaciones a la última versión de Magento.

Más información:
¿Qué es el Cross-Site Scripting o XSS?
Información sobre de la vulnerabilidad

Facebooktwittergoogle_plus