Adobe ha informado en su boletín APSB24-18 de nuevas vulnerabilidades críticas que afectan a todas las versiones de Magento y Adobe Commerce.
Aprende a aplicar los parches de seguridad necesarios para proteger tu sistema Magento de estas vulnerabilidades.
Vulnerabilidades en Magento
Las vulnerabilidades fueron publicadas el 09 de Abril de 2024 en el boletín de seguridad de Adobe.
Según informa Adobe, estas vulnerabilidades son de gravedad crítica, pudiendo explotarse (en el caso de una de ellas) sin necesidad de privilegios de administrador ni de cliente.
CRÍTICA
Validación incorrecta de formularios: El sistema incluye puntos de entrada de datos (p.ej formularios) sin las validaciones apropiadas, que pueden llegar a permitir la ejecución arbitraria de código malicioso en el sistema.
CRÍTICA
Cross-Site Scripting almacenado (XSS): El sistema permite la inyección de scripts maliciosos a través de entradas de datos sin las validaciones apropiadas. Estos scripts quedan almacenados y pueden llegar a ejecutarse en el navegador de otros usuarios.
Esta vulnerabilidad solo es explotable por usuarios administradores.
Versiones afectadas
El siguiente listado muestra las versiones de Magento que han sido identificadas como vulnerables. Como se puede ver, la vulnerabilidad aplica a prácticamente todas las versiones de la plataforma.
Magento Open Source:
- 2.4.7-beta3 y anteriores
- 2.4.6-p4 y anteriores
- 2.4.5-p6 y anteriores
- 2.4.4-p7 y anteriores
Adobe Commerce:
- 2.4.7-beta3 y anteriores
- 2.4.6-p4 y anteriores
- 2.4.5-p6 y anteriores
- 2.4.4-p7 y anteriores
- 2.4.3-ext-6 y anteriores *
- 2.4.2-ext-6 y anteriores *
- 2.4.1-ext-6 y anteriores *
- 2.4.0-ext-6 y anteriores *
- 2.3.7-p4-ext-6 y anteriores *
* En el caso de las releases de Adobe Commerce anteriores a 2.4.4 (y posteriores a 2.3.7), Adobe ha desarrollado parches de seguridad únicamente aplicables para aquellos clientes que tengan contratada la extensión de soporte de Adobe Commerce.
Parches de seguridad: Protege tu Magento
Adobe ha publicado nuevas versiones de Magento (security patch releases) pensadas para corregir estos problemas de seguridad. Por lo que lo más recomendable sería actualizar nuestros sistemas con la mayor celeridad posible:
Para actualizar Magento Community:
rm -rf vendor/*
composer require magento/product-community-edition:2.X.X-pX --no-update
composer update
Para actualizar Adobe Commerce:
rm -rf vendor/*
composer require magento/product-enterprise-edition:2.X.X-pX --no-update
composer update
Para actualizar Adobe Commerce (CLOUD):
rm -rf vendor/*
composer require magento/magento-cloud-metapackage:2.X.X --no-update
composer require magento/product-enterprise-edition:2.X.X-pX --no-update
composer update
En el caso de este tipo de actualizaciones para aplicar parches de seguridad, el proceso a priori debería ser sencillo y no causar problemas ni incidencias relacionadas, aunque siempre es recomendable realizar las pruebas necesarias sobre un entorno no productivo antes de realizar el despliegue en producción.
El siguiente artículo incluye mas detalles sobre los pasos a seguir en un proceso de actualización de versión de Magento:
Cómo actualizar Magento y matener protegido tu ecommerce
Adobe publica actualizaciones de Magento periódicamente para mejorar la seguridad y añadir o modificar determinadas funcionalidades. Por lo que, para asegurar la mejor experiencia y la mayor seguridad, es importante tanto estar al día de las actualizaciones disponibles, como saber aplicarlas correctamente.