Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Importanti aggiornamenti di sicurezza per Magento

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono diverse vulnerabilità di cui una critica e altre 11 di gravità elevata. Se sfruttate con successo, le più gravi di queste vulnerabilità potrebbero consentire l’esecuzione di codice arbitrario nel contesto dell’applicazione affetta, con conseguente potenziale compromissione totale del sito Web.

Dettagli delle vulnerabilità in Magento (in Inglese):

  • [Critical] Authenticated Remote Code Execution (RCE) through the Magento admin panel (swatches module)
  • [High] Remote Code Execution (RCE) via product import
  • [High] PHP Object Injection and RCE in the Magento 2 EE admin panel (Commerce Target Rule module)
  • [High] PHP Object Injection and RCE in the Magento 2 Commerce admin panel (Schedule Import/Export Configuration)
  • [High] SQL Injection through API
  • [High] Arbitrary File Delete via Product Image
  • [High] Cross-Site Scripting (XSS) through B2B quote
  • [High] Authenticated Remote Code Execution (RCE) through the Magento admin panel (currency configuration)
  • [High] Directory Traversal in Product Import
  • [High] Remote Code Execution (RCE) through dev tools
  • [High] PHP Object Injection and Remote Code Execution (RCE) in the Admin panel (Commerce)
  • [High] Cross-Site Request Forgery + Frontend Stored XSS (Design Configuration)
  • [Medium] Stored cross-site scripting (XSS) through the Enterprise Logging extension
  • [Medium] Cross-Site Scripting (XSS) through the Admin Username in the CMS Revision Editor (Commerce only)
  • [Low] X-Frame-Options missing from templates
  • [Low] IP Spoofing

Risultano variamente affette da queste vulnerabilità le seguenti versioni di Magento:

  • Magento Open Source versioni precedenti la 1.9.3.9
  • Magento Commerce versioni precedenti la 1.14.3.9
  • Magento 2.1 versioni precedenti la 2.1.14
  • Magento 2.2 versioni precedenti la 2.2.5

Per risolvere queste vulnerabilità è necessario applicare la patch SUPEE-10752 (solo per le versioni 1.x) o aggiornare Magento ad una delle seguenti versioni:

  • Magento Open Source 1.9.3.9
  • Magento Commerce 1.14.3.9
  • Magento 2.1.14
  • Magento 2.2.5

Per maggiori informazioni sui prodotti vulnerabili e sugli aggiornamenti disponibili è possibile consultare i seguenti bollettini di sicurezza di Magento (in Inglese):

Vista la gravità delle vulnerabilità oggetto degli aggiornamenti, si raccomanda a tutti i gestori di siti Web che utilizzano Magento e di aggiornare con urgenza la propria piattaforma. Si consiglia di testare la nuova versione in un ambiente di sviluppo prima di installarla su un sito in esercizio.

Notizie correlate

Aggiornamento di sicurezza per Moodle (gennaio 2020)

20 gennaio 2020

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità di gravità elevata nella piattaforma di e-learning open source Moodle.Leggi tutto

Avviso di sicurezza di Microsoft per falla critica 0-day in Internet Explorer

20 gennaio 2020

Microsoft ha rilasciato un avviso di sicurezza relativo ad una vulnerabilità critica zero-day in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.Leggi tutto

Grave Vulnerabilità 0-Day su Citrix NetScaler e ADC

13 gennaio 2020

È stata recentemente individuata una grave vulnerabilità zero-day nei prodotti Citrix NetScaler, Citrix Application Delivery Controller (ADC) e Citrix Gateway.Leggi tutto