Vulnerabilidades K2

Contacto

Jueves, 25 Junio 2020 15:00

Vulnerabilidades en Adobe Magento

El CERT de Entelgy Innotec Security, avisa de la publicación de vulnerabilidades en Adobe Magento.

Nivel de peligrosidad: CRÍTICO y ALTO

  • CVE-2020-9664: Se ha publicado una vulnerabilidad que afecta a los productos de Adobe Magento Commerce 1 y Magento Open Source 1, plataformas para la gestión de proyectos relacionados con el comercio electrónico que permiten construir y controlar las funcionalidades de los canales de venta. El fallo podría permitir que un usuario malintencionado ejecute código en el sistema mediante la inyección de objetos PHP, persuadiendo a una víctima para que abra un documento especialmente diseñado.
  • CVE-2020-9665: Al igual que la anterior, esta vulnerabilidad también afecta a Adobe Magento Commerce 1 y Magento Open Source 1. El error permitiría ataques de cross-site-scripting (XSS), causados por una validación incorrecta de las entradas proporcionadas por un usuario. Un atacante podría inyectar un script dañino en una página web, que se ejecutaría en el navegador de la víctima dentro del contexto de seguridad del sitio web en uso y, en caso de éxito, las credenciales de autenticación de la víctima (cookies) podrían ser robadas.

Respecto a las criticidades de ambas vulnerabilidades, la base de datos del NIST por el momento no ha asignado las puntuaciones según la escala CVSSv3. Sin embargo, Adobe las ha calificado como crítica y alta, respectivamente. Hasta la fecha no se conoce actividad dañina en la red, ni exploits que aprovechen estas vulnerabilidades. 

Recursos afectados:

  • Adobe Magento Commerce 1, versiones anteriores a la 1.14.4.5 (incluida).
  • Adobe Magento Open Source 1, versiones anteriores a la 1.9.4.5 (incluida). 

Solución a las vulnerabilidades:

Según el fabricante, para solucionar estas vulnerabilidades, es necesario actualizar las versiones de los productos afectados. Para actualizar la versión de Magento Commerce 1, se requiere hacerlo iniciando sesión en la propia cuenta privada de Adobe Magento, a través del enlace que se ofrece a continuación:

Una vez introducidas las credenciales oportunas, seguir los siguientes pasos: Downloads > Magento Commerce 1.X > Support and Security Patches > Security Patches > Security y seleccionar la última versión disponible. 

Respecto a la actualización para Magento Open Source 1, según el fabricante, es necesario realizar la actualización a través del siguiente enlace:

Para descargar la actualización, seguir los siguientes pasos: Release Archive Tab > Magento Open Source Patches - 1.x Section y seleccionar la última versión disponible. 

Recomendaciones:

El CERT de Entelgy Innotec Security, recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad o actualizaciones en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento no se conocen medidas de mitigación alternativas a esta vulnerabilidad en caso de no ser posible aplicar la actualización descrita. 

Referencias:

S5 Box