Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamento di sicurezza per Magento

È stato rilasciato un importante aggiornamento di sicurezza per la piattaforma di e-commerce Magento che risolve diverse vulnerabilità di cui cinque di gravità elevata. Se sfruttate con successo, le più gravi di queste vulnerabilità potrebbero consentire l’esecuzione di codice arbitrario nel contesto dell’applicazione affetta, con conseguente potenziale compromissione totale del sito Web.

Dettagli delle vulnerabilità (in Inglese):

  • [Medium] Unsanitized input leading to denial of service
  • [Medium] Stored XSS in Product Descriptions
  • [Medium] Stored XSS in Visual Merchandiser
  • [High] Remote Code Execution by leveraging unsafe unserialization
  • Fix WSDL based patching to work with SOAP V1
  • [High] Remote Code Execution through Config Manipulation
  • [Medium] Stored XSS in CMS Page Area
  • [High] Remote Code Execution in CMS Page Area
  • [Medium] Stored XSS in Billing Agreements
  • [High] PHP Object Injection in product attributes leading to Remote Code Execution
  • [High] PHP Object Injection in product entries leading to Remote Code Execution

Risultano variamente affette da queste vulnerabilità le seguenti versioni di Magento:

  • Magento Open Source versioni precedenti la 1.9.3.7
  • Magento Commerce versioni precedenti la 1.14.3.7
  • Magento 2.0 versioni precedenti la 2.0.17
  • Magento 2.1 versioni precedenti la 2.1.10
  • Magento 2.2

Per risolvere queste vulnerabilità è necessario applicare la patch SUPEE-10415 o aggiornare Magento ad una delle seguenti versioni:

  • Magento Open Source 1.9.3.7
  • Magento Commerce 1.14.3.7
  • Magento 2.0.17
  • Magento 2.1.10
  • Magento 2.2.1

Vista la gravità delle vulnerabilità oggetto dell’aggiornamento, si raccomanda a tutti i gestori di siti Web che utilizzano Magento di consultare l’avviso di sicurezza del produttore e di aggiornare con urgenza la propria piattaforma. Si consiglia di testare la nuova versione in un ambiente di sviluppo prima di installarla su un sito in esercizio.

Si noti che questo aggiornamento integra quello già pubblicato dal Magento Security Team il 7 novembre 2017. La patch (SUPEE-10415) e le versioni aggiornate di Magento sono le stesse, mentre la lista delle vulnerabilità risolte è solo parzialmente sovrapposta.

Notizie correlate

Aggiornamento di sicurezza Android (febbraio 2018)

7 febbraio 2018

Google ha rilasciato l'aggiornamento di sicurezza di gennaio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto

Aggiornamento di sicurezza critico per Adobe Flash Player

7 febbraio 2018

Adobe ha rilasciato un aggiornamento di sicurezza critico per Flash Player che risolve vulnerabilità che potrebbero consentire l'esecuzione di codice arbitrario da remoto.Leggi tutto

Vulnerabilità critica in CODESYS web server

5 febbraio 2018

È stata scoperta una vulnerabilità critica di tipo esecuzione di codice da remoto nel server Web utilizzato nella piattaforma CODESYS per sistemi di controllo industriale.Leggi tutto