Vulnerabilidades en Magento: ejecución de código arbitrario, SQL injection y otras
Dos de las vulnerabilidades encontradas por los investigadores están catalogados como críticas. La primero de ellas, que ha sido etiquetada con el identificador CVE-2020-24407, podría permitir la ejecución de código arbitrario. Más concretamente, un atacante podría lograr subir ficheros maliciosos a la plataforma eludiendo los mecanismos que validan las extensiones permitidas.
Además de las anteriores, se han reportado y también corregido, seis vulnerabilidades importantes y una de severidad moderada. Listamos las mismas a continuación, comenzando por las de mayor riesgo:
- CVE-2020-24402: La explotación de esta vulnerabilidad podría permitir la modificación no autorizada de la lista de clientes.
- CVE-2020-24401, CVE-2020-24405 y CVE-2020-24403: Aprovechando estos errores, un atacante podría conseguir acceso no autorizado a recursos restringidos.
- CVE-2020-24404: En este caso, un atacante podría conseguir modificar de forma no autorizada las páginas del CMS Magento.
- CVE-2020-24408: Esta vulnerabilidad podría permitir a un atacante ejecutar código Javascript arbitrario en el navegador (Cross-site Scripting almacenado).
- CVE-2020-24406: De severidad moderada, podría permitir la divulgación de información confidencial, concretamente referente al directorio raíz.
Todas ellas se encuentran corregidas en las siguientes versiones lanzadas por Adobe las cuales están disponibles en su pagina oficial, por lo que se recomienda la actualización de las plataformas:
Fuente: Hispasec | Adobe | ThreatPost
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!