Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza critici per Magento

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono diverse vulnerabilità di cui 5 critiche e altre 4 di gravità elevata. Se sfruttate con successo, le più gravi di queste vulnerabilità potrebbero consentire l’esecuzione di codice arbitrario nel contesto dell’applicazione affetta, con conseguente potenziale compromissione totale del sito Web.

Dettagli delle vulnerabilità in Magento (in Inglese):

  • [Critical] JavaScript execution in the administrator panel
  • [Critical] Remote Code Execution using media upload
  • [Critical] Remote Code Execution Using XML Injection
  • [Critical] Remote Code Execution – additional fix not included in SUPEE-9652
  • [Critical] Remote Code Execution by (semi-)arbitrary file deletion for admin users with access to Import
  • [High] Cross-Site Scripting in customer information
  • [High] Cross-site Scripting in Customer Address
  • [High] Cross-site Scripting leading to Denial-of-Service
  • [High] Remote Code Execution in Staging Environment
  • [Medium] Common Server Misconfiguration causes data leak
  • [Medium] Local file inclusion in customer view
  • [Medium] CSRF in Store Backups
  • [Medium] Local file inclusion in import history
  • [Medium] Path Traversal in Image Upload
  • [Medium] Path Traversal in static.php file
  • [Medium] Cross-site Scripting in Downloadable Products
  • [Medium] Cross-site Scripting in Admin Shipment tracking
  • [Medium] Cross-site Scripting in detailed rating
  • [Medium] Cross-site Scripting in System Configuration
  • [Medium] Cross-site Scripting in custom variable
  • [Medium] Cross-site Scripting in Attribute Group Name
  • [Medium] Cross-site Scripting in Downloadable Product Link
  • [Medium] Cross-site Scripting in Date fields
  • [Medium] Cross-site Scripting in Product SKU
  • [Medium] Cross-site Scripting in RMA functionality
  • [Medium] Cross-site Scripting in Newsletter Template
  • [Medium] Cross-site Scripting in Site Settings
  • [Medium] Cross-site Scripting in Downloadable Products
  • [Medium] Cross-site Scripting in Product Attributes
  • [Medium] Cross-site Scripting in CMS hierarchy
  • [Medium] Cross-site Scripting in Status Message (continuation)
  • [Low] No CSRF Protection in Order Printing
  • [Low] CSRF Protection Bypass
  • [Low] Access to Gift Registries of Other Users
  • [Low] Information Exposure
  • [Low] Information Exposure
  • [Low] Password Change Session Management
  • [Low] Password Reset Session Management
  • [Low] Session Management

Risultano variamente affette da queste vulnerabilità le seguenti versioni di Magento:

  • Magento Open Source versioni precedenti la 1.9.3.8
  • Magento Commerce versioni precedenti la 1.14.3.8
  • Magento 2.0 versioni precedenti la 2.0.18
  • Magento 2.1 versioni precedenti la 2.1.12
  • Magento 2.2 versioni precedenti la 2.2.3

Per risolvere queste vulnerabilità è necessario applicare la patch SUPEE-10570 (solo per le versioni 1.x) o aggiornare Magento ad una delle seguenti versioni:

  • Magento Open Source 1.9.3.8
  • Magento Commerce 1.14.3.8
  • Magento 2.0.18
  • Magento 2.1.12
  • Magento 2.2.3

Per maggiori informazioni sui prodotti vulnerabili e sugli aggiornamenti disponibili è possibile consultare i seguenti bollettini di sicurezza di Magento (in Inglese):

Vista la gravità delle vulnerabilità oggetto degli aggiornamenti, si raccomanda a tutti i gestori di siti Web che utilizzano Magento e di aggiornare con urgenza la propria piattaforma. Si consiglia di testare la nuova versione in un ambiente di sviluppo prima di installarla su un sito in esercizio.

Notizie correlate

Risolte diverse vulnerabilità in Joomla! 3.9.3

14 febbraio 2019

Il Joomla! Project ha rilasciato la versione 3.9.3 del suo CMS che risolve 6 vulnerabilità di bassa gravità nel codice "core" dell'applicazione.Leggi tutto

Vulnerabilità multiple in PHP 7

13 febbraio 2019

Sono state scoperte diverse vulnerabilità in PHP 7 che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o di causare condizioni di denial of service.Leggi tutto

Aggiornamento di sicurezza Android (febbraio 2019)

6 febbraio 2019

Google ha rilasciato l'aggiornamento di sicurezza di febbraio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto