27 ene. 2016

Vulnerabilidad crítica de XSS en Magento (Parchea!)

Se ha encontrado una vulnerabilidad crítica de Cross-site Scripting (XSS) en Magento, la plataforma de comercio electrónico más popular y que es propiedad de eBay. Prácticamente todas las versiones de Magento Community Edition anteriores a 1.9.2.3 y Magento Enterprise Edition anteriores a 1.14.2.3, son vulnerables a una vulnerabilidad de Cross-site Scripting almacenado.

Los errores de XSS almacenados son graves porque permiten:
  • Tomar el control de tiendas online basadas en Magento
  • Escalar privilegios de usuario
  • Extraer datos de los clientes
  • Robar información de tarjetas de crédito
  • Controlar la cuenta del administrador
La empresa Sucuri encontró el error en noviembre pasado y ahora, luego del lanzamiento del parche, describió el error en su sitio web. Un atacante solo necesita incrustar un código JavaScript malicioso dentro de un formulario de registro del cliente, colocando una dirección de correo electrónico maliciosa.

El error se encuentra en las bibliotecas core de Magento, más concretamente en el backend del administrador, en el archivo app/design/adminhtml/default/default/template/sales/order/view/info.phtml en la función getCustomerEmail(), en la forma en que se valida el correo electrónico ingresado por el usuario.
Luego, Magento "ejecuta este correo electrónico" -que contiene el código JavaScript- en el contexto de la cuenta del administrador, lo que permite a un atacante robar su sesión y asumir el control total del servidor donde se ejecuta Magento.
    La buena noticia es que las vulnerabilidades han sido parcheadas y Magento ha publicado la actualización SUPEE-7405, por lo que se recomienda la actualización inmediata.

    Fuente: The Hacker News y Magento

    0 comentarios:

    Publicar un comentario

    Gracias por dejar un comentario en Segu-Info
    Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

    Gracias por comentar!