Se ha encontrado una vulnerabilidad crítica de
Cross-site Scripting (XSS) en
Magento, la plataforma de comercio electrónico más popular y que es propiedad de eBay. Prácticamente
todas las versiones de Magento Community Edition anteriores a 1.9.2.3 y Magento Enterprise Edition anteriores a 1.14.2.3, son vulnerables a una vulnerabilidad de
Cross-site Scripting almacenado.
Los errores de XSS almacenados son graves porque permiten:
- Tomar el control de tiendas online basadas en Magento
- Escalar privilegios de usuario
- Extraer datos de los clientes
- Robar información de tarjetas de crédito
- Controlar la cuenta del administrador
La empresa
Sucuri encontró el error en noviembre pasado y ahora, luego del lanzamiento del parche, describió el error en su sitio web. Un atacante solo necesita incrustar un código JavaScript malicioso dentro de un formulario de registro del cliente, colocando una dirección de correo electrónico maliciosa.
El error se encuentra en las bibliotecas
core de Magento, más concretamente en el
backend del administrador, en el archivo
app/design/adminhtml/default/default/template/sales/order/view/info.phtml
en la función
getCustomerEmail()
, en la forma en que se valida el correo electrónico ingresado por el usuario.
Luego, Magento "ejecuta este correo electrónico" -que contiene el código JavaScript- en el contexto de la cuenta del administrador, lo que permite a un atacante robar su sesión y asumir el control total del servidor donde se ejecuta Magento.
La buena noticia es que las vulnerabilidades han sido parcheadas y
Magento ha publicado la actualización SUPEE-7405, por lo que se recomienda la actualización inmediata.
Fuente:
The Hacker News y
Magento
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!