Magento recibe actualizaciones de seguridad para vulnerabilidades críticas

Adobe corrigió dos vulnerabilidades de ejecución de código en Magento Commerce versiones 2.3.5-p1 y anteriores, y Magento Open Source versiones 2.3.5-p1 y anteriores. Una de las vulnerabilidades se considera crítica. (CVE-2020-9689), y el otro tan importante (CVE-2020-9691).

Vulnerabilidades en Magento Commerce versiones 2.3.5-p1 y anteriores, y Magento Open Source versiones 2.3.5-p1 y anteriores

La falla crítica CVE-2020-9689 ha sido causada por un problema de recorrido de la ruta que podría permitir a los atacantes con privilegios de administrador ejecutar código arbitrario, los investigadores de seguridad dicen. El error importante, conocido como CVE-2020-9691, se describe como un problema de scripting entre sitios basado en DOM previo a la autenticación (XSS) lo que podría permitir a los actores de amenazas no autenticados ejecutar código arbitrario en sistemas vulnerables.

Cabe señalar que una tercera vulnerabilidad también fue parchada – CVE-2020-9690. Este problema es el resultado de un error de discrepancia de tiempo observable, lo que podría permitir a los atacantes con privilegios de administrador omitir la verificación de firma.

Lea también Conjunto de malware Doki contra servidores Docker

Estas no son las primeras fallas críticas de ejecución de código en Magento, ya que otros dos conjuntos de tales errores se abordaron en enero y luego en abril. Todas estas vulnerabilidades podrían permitir a los atacantes ejecutar código arbitrario, en caso de que se produjera una explotación exitosa.


Hace exactamente un mes, Los sitios de comercio electrónico de Magento que se ejecutaban en la rama 1.x necesitaban actualizar sus instalaciones para protegerse de posibles ataques de piratería que podrían lanzarse contra la rama más antigua.. Esto se debió a una etapa de fin de vida que estaba programado para junio 30. Esto también significaba que Adobe ya no proporcionaría actualizaciones de seguridad a la plataforma.

Dejar un comentario

su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados *

El límite de tiempo está agotado.. Por favor, vuelva a cargar CAPTCHA.