Recientemente se publicaron dos nuevas vulnerabilidades de carácter crítico que afectan a la mayoría de versiones de Magento. Por su parte, Adobe ha publicado parches de seguridad para solventar la brecha de seguridad y evitar posibles problemas.
Vulnerabilidad en Magento
Las vulnerabilidades fueron publicadas el 13 de Febrero de 2022 en el boletín de seguridad de Adobe:
Según informa Adobe, la vulnerabilidad podría ser crítica ya que podría permitir la ejecución de código remoto (RCE) a través de un error en la validación de determinados datos de entrada durante el proceso de checkout.
CVE-2022-24086
Las versiones de Magento que se han identificado como vulnerables son:
- Magento Open Source (Community): Desde 2.3.3-p1 hasta 2.4.3-p1.
- Magento Commerce (Enteprise): Desde 2.3.3-p1 hasta 2.4.3-p1.
Parche de seguridad
Para evitar posibles problemas de seguridad, se recomienda aplicar los parches emitidos por Adobe cuanto antes:
Para aplicar los parches en un entorno Magento Cloud, solo se deberán situar los ficheros de los parches en el directorio reservado “m2-hotfixes” y realizar un despliegue. Los parches serán aplicados automáticamente.
Para aplicar los parches en un entorno Magento On-premise, se deberá subir los ficheros de los parches de seguridad junto con el código del proyecto y lanzar los siguientes comandos:
patch -p1 < %patch_name%.composer.patch
patch -p2 < %patch_name%.composer.patch
Tras aplicar los parches de seguridad, se recomienda limpiar la caché.
