Vulnerabilidades graves en Magento: Octubre 2023 (APSB23-50)

Adobe ha informado en su boletín APSB23-50 de nuevas vulnerabilidades críticas que afectan a todas las versiones de Magento y Adobe Commerce.
Aprende a aplicar los parches de seguridad necesarios para proteger tu sistema Magento de estas vulnerabilidades.

Vulnerabilidades en Magento

Las vulnerabilidades fueron publicadas el 10 de Octubre de 2023 en el boletín de seguridad de Adobe.

Según informa Adobe, estas vulnerabilidades son de gravedad crítica/importante y pueden llegar a permitir la ejecución arbitraria de código y escalada de privilegios, por lo que son vulnerabilidades peligrosas que debemos corregir cuanto antes.

CVE-2023-38218

CRÍTICA

Validación incorrecta de formularios: El sistema incluye algunos formularios con validaciones de campos incorrectas, que pueden llegar a permitir una escalada de privilegios, obteniendo acceso a niveles de permisos más elevados de lo que inicialmente se ha concedido.

CVE-2023-38219

CRÍTICA

Cross-Site Scripting almacenado (XSS): El sistema permite la inyección de scripts maliciosos que quedan almacenados y pueden llegar a permitir una escalada de privilegios en el sistema, obteniendo acceso a niveles de permisos más elevados de lo que inicialmente se ha concedido. Esta vulnerabilidad solo es explotable por usuarios administradores.

CVE-2023-38220

CRÍTICA

Autorización incorrecta: El sistema permite obtener acceso no autorizado a recursos o funciones de caracter privado. Esta vulnerabilidad solo es explotable por usuarios identificados.

CVE-2023-38221

CRÍTICA

Inyección SQL: El sistema permite inyectar código SQL sin autorización, pudiendo llegar a alterar la base de datos y ejecutar código arbitrario en el sistema. Esta vulnerabilidad solo es explotable por usuarios administradores.

CVE-2023-38249

CRÍTICA

CVE-2023-38250

CRÍTICA

Inyección SQL: El sistema permite inyectar código SQL sin autorización, pudiendo llegar a alterar la base de datos y ejecutar código arbitrario en el sistema. Esta vulnerabilidad solo es explotable por usuarios administradores.

CVE-2023-26367

CRÍTICA

Exposición de información: El sistema permite el acceso no autorizado a información confidencial, vulnerando la privacidad del sistema y/o de los usuarios. Esta vulnerabilidad solo es explotable por usuarios administradores.

CVE-2023-38251

IMPORTANTE

Consumo de recursos no controlado: El sistema permite el lanzamiento de operaciones que consumen una cantidad de recursos excesiva, llegando a producir una denegación de servicio, interrumpiendo el correcto funcionamiento de la aplicación.

CVE-2023-26366

IMPORTANTE

Ataque CSRF (Cross-Site Request Forgery): El sistema permite el uso ilegitimo de sesiones activas de usuarios, pudiendo llegar a obtener acceso a ficheros del sistema. Esta vulnerabilidad solo es explotable por usuarios administradores.

Versiones afectadas

El siguiente listado muestra las versiones de Magento que han sido identificadas como vulnerables. Como se puede ver, la vulnerabilidad aplica a prácticamente todas las versiones de la plataforma.

Magento Open Source:

2.4.7-beta1 y anteriores
2.4.6-p2 y anteriores
2.4.5-p4 y anteriores
2.4.4-p5 y anteriores

Adobe Commerce:

2.4.7-beta1 y anteriores
2.4.6-p2 y anteriores
2.4.5-p4 y anteriores
2.4.4-p5 y anteriores
2.4.3-ext-4 y anteriores *
2.4.2-ext-4 y anteriores *
2.4.1-ext-4 y anteriores *
2.4.0-ext-4 y anteriores *
2.3.7-p4-ext-4 y anteriores *

* En el caso de las releases de Adobe Commerce anteriores a 2.4.4 (y posteriores a 2.3.7), Adobe ha desarrollado parches de seguridad únicamente aplicables para aquellos clientes que tengan contratada la extensión de soporte de Adobe Commerce.

Es importante aclarar que, aunque Adobe solo haya reportado como vulnerables las releases de Magento Open Source desde 2.4.4, esto se debe a que Adobe ya no da soporte de ningún tipo a versiones anteriores, por lo que lo más probable es que releases anteriores a 2.4.4 también sean vulnerables.

Parches de seguridad: Protege tu Magento

Adobe ha publicado nuevas versiones de Magento (security patch releases) pensadas para corregir estos problemas de seguridad. Por lo que lo más recomendable sería actualizar nuestros sistemas con la mayor celeridad posible:

Para actualizar Magento Community:

rm -rf vendor/*
composer require magento/product-community-edition:2.X.X-pX --no-update
composer update

Para actualizar Adobe Commerce:

rm -rf vendor/*
composer require magento/product-enterprise-edition:2.X.X-pX --no-update
composer update

Para actualizar Adobe Commerce (CLOUD):

rm -rf vendor/*
composer require magento/magento-cloud-metapackage:2.X.X --no-update
composer require magento/product-enterprise-edition:2.X.X-pX --no-update
composer update

En el caso de este tipo de actualizaciones para aplicar parches de seguridad, el proceso a priori debería ser sencillo y no causar problemas ni incidencias relacionadas, aunque siempre es recomendable realizar las pruebas necesarias sobre un entorno no productivo antes de realizar el despliegue en producción.

El siguiente artículo incluye mas detalles sobre los pasos a seguir en un proceso de actualización de versión de Magento:

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_96XKRRH9JN	2 years	This cookie is installed by Google Analytics.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
tk_ai	5 years	JetPack sets this cookie to store a randomly-generated anonymous ID which is used only within the admin area and for general analytics tracking.
tk_lr	1 year	The tk_lr is a referral cookie set by the JetPack plugin on sites using WooCommerce, which analyzes referrer behaviour for Jetpack.
tk_or	5 years	The tk_or is a referral cookie set by the JetPack plugin on sites using WooCommerce, which analyzes referrer behaviour for Jetpack.
tk_qs	30 minutes	JetPack sets this cookie to store a randomly-generated anonymous ID which is used only within the admin area and for general analytics tracking.
tk_r3d	3 days	JetPack installs this cookie to collect internal metrics for user activity and in turn improve user experience.

Vulnerabilidades graves en Magento: Octubre 2023 (APSB23-50)

Vulnerabilidades en Magento

Versiones afectadas

Parches de seguridad: Protege tu Magento

Hiberus Dockergento: Entorno Docker para Magento

Analiza el rendimiento de tu código con Big O

Otros artículos