Investigadores de seguridad de DefenseCode han publicado el codigo de prueba de concepto para dos vulnerabilidades de Magento parcheadas el mes de septiembre.
Los PoCs estan incluidos en dos avisos publicados por la empresa para dos vulnerabilidades descubiertas en las plataformas open source y cloud alojadas de Magento. Ambas vulnerabilidades son un combo de errores CSRF + XSS (CSRF = falsificacion de solicitud de cross-site, XSS = scripting entre sitios).Las vulnerabilidades afectan a las funciones de Grupos de clientes de Magento y Plantillas de boletines. El codigo de exploit publicado permite a los atacantes hacerse cargo de las cuentas de administrador.
La ingenieria social y la interaccion del usuario son necesarios para convencer a un propietario de la tienda para hacer clic en un enlace para acceder a una URL atrapada, aunque esto no deberia ser tan dificil en este dia y edad.
Magento emitio parches para ambos fallos de seguridad a mediados de septiembre cuando lanzo las versiones Magento 2.0.16 y 2.1.9 ( APPSEC-1852 y APPSEC-1853 ).
Las vulnerabilidades forman parte de un conjunto de 34 bugs que Magento corrigio en la actualizacion del mes de spetiembre. La disponibilidad de un PoC detallado debe ser suficiente para empujar a los administradores de tienda a actualizar sus plataformas, si aun no lo han hecho.
Magento no es un CMS muy popular en comparacion con WordPress o Drupal, pero a diferencia de otros CMS, debido a su naturaleza, es a menudo una de las plataformas mas especificas porque maneja grandes cantidades de datos de tarjetas de pago. Magento estima que mas de 200.000 minoristas utilizan su plataforma.
Fecha actualizaci?n el 2017-10-06. Fecha publicaci?n el 2017-10-06. Categor?a: Magento. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer