Ejecución de código arbitrario en la plataforma e-commerce de Magento

Este martes Adobe ha publicado en su boletín de seguridad varias actualizaciones de seguridad para su plataforma de e-commerce Magento. Estas actualizaciones resuelven importantes fallos de seguridad que permitirían, entre otras cosas, la ejecución de código arbitrario de forma remota.

Los fallos de seguridad afectan a las versiones Magento Commerce (2.4.3, 2.4.2-p2, 2.3.7-p1 y anteriores) y Magento Open Source (2.4.3, 2.4.2-p2, 2.3.7-p1 y anteriores).

En concreto se resuelven 11 vulnerabilidades críticas, de las cuales, 7 permitirían la ejecución de código arbitrario debido a fallos en el saneamiento de las entradas (CVE-2021-36036, CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36040, CVE-2021-36041, CVE-2021-36042, CVE-2021-36031, CVE-2021-36022, CVE-2021-36023, CVE-2021-36043, CVE-2021-36020, CVE-2021-36028 y CVE-2021-36033). Otras 2 permitirían saltar restricciones de seguridad (CVE-2021-3602, CVE-2021-36030), elevar privilegios (CVE-2021-36032) o provocar una denegación de servicios (CVE-2021-36044).

También se resuelven 5 vulnerabilidades consideradas importantes. Algunas de éstas permiten la ejecución de código arbitrario por medio de ataques XSS almacenados (CVE-2021-36026 y CVE-2021-36027). Salto de restricciones de seguridad debido a fallos en el mecanismo de autenticación, fallos en la lógica de negocio y errores en la validación de las entradas (CVE-2021-36037, CVE-2021-36012 y CVE-2021-36038 respectivamente). Así como lecturas no autorizadas debido a errores en el mecanismo e autenticación (CVE-2021-36039).

Un atacante que consiga explotar las vulnerabilidades comentadas podría ejecutar código arbitrario de forma remota y escalar privilegios para hacerse con el control de la instalación de Magento vulnerable.

Se recomienda a todos los usuarios afectados que actualicen cuanto antes o apliquen los parches correspondientes.

Más información:

Security Updates Available for Magento | APSB21-64
https://helpx.adobe.com/security/products/magento/apsb21-64.html

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 months	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy	11 months	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Ejecución de código arbitrario en la plataforma e-commerce de Magento

Publicaciones relacionadas

Una al Día

Aviso Legal

Compártelo:

Publicaciones relacionadas

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Footer

Una al Día

Aviso Legal