Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Importanti aggiornamenti di sicurezza per Magento

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono diverse vulnerabilità di cui una critica e altre 11 di gravità elevata. Se sfruttate con successo, le più gravi di queste vulnerabilità potrebbero consentire l’esecuzione di codice arbitrario nel contesto dell’applicazione affetta, con conseguente potenziale compromissione totale del sito Web.

Dettagli delle vulnerabilità in Magento (in Inglese):

  • [Critical] Authenticated Remote Code Execution (RCE) through the Magento admin panel (swatches module)
  • [High] Remote Code Execution (RCE) via product import
  • [High] PHP Object Injection and RCE in the Magento 2 EE admin panel (Commerce Target Rule module)
  • [High] PHP Object Injection and RCE in the Magento 2 Commerce admin panel (Schedule Import/Export Configuration)
  • [High] SQL Injection through API
  • [High] Arbitrary File Delete via Product Image
  • [High] Cross-Site Scripting (XSS) through B2B quote
  • [High] Authenticated Remote Code Execution (RCE) through the Magento admin panel (currency configuration)
  • [High] Directory Traversal in Product Import
  • [High] Remote Code Execution (RCE) through dev tools
  • [High] PHP Object Injection and Remote Code Execution (RCE) in the Admin panel (Commerce)
  • [High] Cross-Site Request Forgery + Frontend Stored XSS (Design Configuration)
  • [Medium] Stored cross-site scripting (XSS) through the Enterprise Logging extension
  • [Medium] Cross-Site Scripting (XSS) through the Admin Username in the CMS Revision Editor (Commerce only)
  • [Low] X-Frame-Options missing from templates
  • [Low] IP Spoofing

Risultano variamente affette da queste vulnerabilità le seguenti versioni di Magento:

  • Magento Open Source versioni precedenti la 1.9.3.9
  • Magento Commerce versioni precedenti la 1.14.3.9
  • Magento 2.1 versioni precedenti la 2.1.14
  • Magento 2.2 versioni precedenti la 2.2.5

Per risolvere queste vulnerabilità è necessario applicare la patch SUPEE-10752 (solo per le versioni 1.x) o aggiornare Magento ad una delle seguenti versioni:

  • Magento Open Source 1.9.3.9
  • Magento Commerce 1.14.3.9
  • Magento 2.1.14
  • Magento 2.2.5

Per maggiori informazioni sui prodotti vulnerabili e sugli aggiornamenti disponibili è possibile consultare i seguenti bollettini di sicurezza di Magento (in Inglese):

Vista la gravità delle vulnerabilità oggetto degli aggiornamenti, si raccomanda a tutti i gestori di siti Web che utilizzano Magento e di aggiornare con urgenza la propria piattaforma. Si consiglia di testare la nuova versione in un ambiente di sviluppo prima di installarla su un sito in esercizio.

Notizie correlate

Vulnerabilità in PostgreSQL consente esecuzione di comandi arbitrari

15 novembre 2018

È stata scoperta una grave vulnerabilità di tipo SQL injection in PostgreSQL che può consentire l'esecuzione di query SQL arbitrarie.Leggi tutto

Aggiornamento di sicurezza Android (novembre 2018)

7 novembre 2018

Google ha rilasciato l'aggiornamento di sicurezza di novembre che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto

Aggiornamento di sicurezza critico per Apache Struts 2

6 novembre 2018

La Apache Software Foundation ha pubblicato un avviso di sicurezza riguardante una vulnerabilità critica di tipo esecuzione di codice da remoto in Apache Struts 2.Leggi tutto