Vulnerabilidad en Magento: CVE-2022-35698

por David Abad
Vulnerabilidad Magento

Adobe ha publicado en su boletín de seguridad una nueva vulnerabilidad crítica (CVE-2022-35698). Esta vulnerabilidad es de tipo cross-site-scripting (XSS) y afecta a la mayoría de versiones de Magento. Por lo que es una vulnerabilidad muy peligrosa y debemos corregirla cuanto antes en nuestros sistemas Magento.

Vulnerabilidad en Magento

Las vulnerabilidades fueron publicadas el 11 de Octubre de 2022 en el boletín de seguridad de Adobe:

Según informa Adobe, esta vulnerabilidad crítica es de tipo XSS almacenado (cross-site-scripting). Es decir, todo indica que desde algún punto de Magento existe un input vulnerable que permite la introducción de código javascript malicioso, que además queda almacenado en base de datos.

Este tipo de vulnerabilidad es muy peligrosa ya que permite atacar directamente a los usuarios de la web, puesto que el código javascript malicioso es ejecutado a nivel de cliente (navegador).

Versiones afectadas

El siguiente listado muestra las versiones de Magento que han sido identificadas como vulnerables. Como se puede ver, la vulnerabilidad aplica a prácticamente todas las versiones de la plataforma.

Magento Open Source

  • 2.4.5 y anteriores
  • 2.4.4-p1 y anteriores
  • 2.4.3-p3 y anteriores *

Adobe Commerce

  • 2.4.5 y anteriores
  • 2.4.4-p1 y anteriores
  • 2.4.3-p3 y anteriores *
* Excepto 2.4.3-p1

Parches de seguridad

Adobe ha publicado dos nuevas versiones de Magento pensadas para corregir este problema de seguridad. Por lo que lo más recomendable sería actualizar nuestros sistemas con la mayor celeridad posible:

Sin embargo, plantear una actualización de versión en Magento no siempre es una tarea sencilla. Por lo que Adobe tambien ha publicado parches de Composer, que pueden ser aplicados de forma fácil y rápida: 

Para aplicar los parches en un entorno Magento Cloud, solo se deberán situar los ficheros de los parches en el directorio reservado “m2-hotfixes” y realizar un despliegue. Los parches serán aplicados automáticamente.

Para aplicar los parches en un entorno Magento On-premise, se deberá subir los ficheros de los parches de seguridad junto con el código del proyecto y lanzar los siguientes comandos:

patch -p1 < %patch_name%.composer.patch
patch -p2 < %patch_name%.composer.patch

Tras aplicar los parches de seguridad, se recomienda limpiar la caché.

Déjanos tu email para recibir contenido interesante en tu bandeja de entrada, cada mes.

¡No hacemos spam!

Otros artículos