Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolte vulnerabilità critiche in Magento

Magento   mercoledì, 18 maggio 2016

È stato rilasciato un importante aggiornamento di sicurezza per la piattaforma di e-commerce Magento che risolve diverse vulnerabilità di cui due considerate critiche e altre due di gravità elevata. Se sfruttate con successo, le più gravi di queste vulnerabilità potrebbero consentire l’esecuzione di codice arbitrario nel contesto dell’applicazione affetta, con conseguente potenziale compromissione totale del sito Web.

In particolare, un utente non autenticato potrebbe eseguire codice PHP arbitrario da remoto sul server utilizzando API REST o SOAP (queste API risultano abilitate per default nella maggior parte delle installazioni). Il codice potrebbe essere caricato sul server da remoto da un utente non autenticato o con minimi privilegi sfruttando un’altra falla critica nel processo di installazione di Magento che lascia la directory “/app/etc” accessibile in scrittura.

Risultano affette da queste vulnerabilità le versioni di Magento CE (Community Edition)  e di Magento EE (Enterprise Edition) precedenti la 2.0.6.

Vista la criticità delle vulnerabilità oggetto dell’aggiornamento, si raccomanda a tutti i gestori di siti Web che utilizzano Magento di consultare l’avviso di sicurezza del produttore e di aggiornare con urgenza la propria piattaforma. Si consiglia di testare la nuova versione in un ambiente di sviluppo prima di installarla su un sito in esercizio.

Notizie correlate

Aggiornamenti di sicurezza critici per Magento

29 gennaio 2020

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono un totale di 6 vulnerabilità, di cui tre critiche e altre tre di gravità elevata.Leggi tutto

Aggiornamenti di sicurezza critici per Magento

14 ottobre 2019

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono un totale di 53 vulnerabilità, di cui 12 critiche e altre 12 di gravità elevata.Leggi tutto

Aggiornamenti di sicurezza critici per Magento

2 luglio 2019

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono un totale di 75 vulnerabilità, di cui 9 critiche e altre 10 di gravità elevata.Leggi tutto