Detectan un agujero de seguridad en uno de los gestores de contenidos que utilizan más tiendas online

• El INCIBE alerta de varias vulnerabilidades críticas en Magento, uno de los gestores de contenido más populares para tiendas online.
• Los agujeros de seguridad permitirían la ejecución de código remoto en los boletines de estos comercios, el robo de información bancaria y la infección tanto de los clientes que visiten la web como de los propios administradores.
• Magento ya ha emitido parches de seguridad para corregir estos errores y se recomienda actualizar a las últimas versiones de esta herramienta.

Si tienes un portal de comercio electrónico, es muy probable que estés usando el gestor de contenidos Magento. No en vano, este motor maneja actualmente un volumen bruto de mercancía que ronda los 155.000 millones de dólares al año, con marcas tan destacadas como Canon o Rosetta Stone corriendo sus negocios bajo esta tecnología.

Una herramienta muy popular pero, precisamente por ello, también una de las favoritas de los ciberatacantes. Y las noticias que traemos hoy al respecto no son nada halagüeñas, porque se han detectado varias vulnerabilidades críticas en el seno de múltiples versiones de Magento.

Leer más: Adobe entra en la guerra del comercio electrónico con la compra de Magento por 1.400 millones de euros

Según alerta el INCIBE, a través de estos agujeros de seguridad podrían producirse ejecuciones remotas de código a través de los boletines y las plantillas de correo electrónico que podrían permitir a un atacante comprometer la seguridad del gestor de contenidos y la de sus clientes.

El gestor de Magento también presenta riesgos de sufrir inyecciones SQL con las que se podría añadir código maliciosos al gestor de contenidos para robar información confidencial o bancaria, entre otros; así como vulnerabilidades de tipo Cross-Site Scripting (XSS) que permitirían la inyección de código malicioso en el gestor de contenidos, afectando tanto a clientes, como a administradores.

Las versiones afectadas de este software, siempre de acuerdo al organismo de ciberseguridad leonés, son las siguientes:

• Versiones de Magento Commerce hasta 1.9.0.0 a 1.14.4.0.
• Versiones de Magento Open Source hasta 1.5.0.0 a 1.9.4.0.
• Versiones de Magento Commerce y Open Source anteriores a 2.3.1, 2.2.8 Y 2.1.17. 

Por suerte, la empresa ahora propiedad de Adobe ya ha emitido parches de seguridad que corrigen estos errores. Los expertos del INCIBE recomiendan instalar estas correcciones lo antes posible o actualizar Magento a las últimas versiones disponibles. Además, recuerdan que antes de hacer este tipo de acciones en entornos de producción, es recomendable realizar las pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.