Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza critici per Magento

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono un totale di 37 vulnerabilità, di cui 4 critiche e altre 4 di gravità elevata. Se sfruttate con successo, le più gravi di queste vulnerabilità potrebbero consentire l’esecuzione di codice arbitrario nel contesto dell’applicazione affetta, con conseguente potenziale compromissione totale del sito Web.

Dettagli delle vulnerabilità in Magento (in Inglese):

  • [Critical] Remote code execution though crafted newsletter and email templates
  • [Critical] Remote code execution through email template
  • [Critical] SQL Injection and cross-site scripting vulnerability in Catalog section (XSS)
  • [Critical] SQL Injection vulnerability through an unauthenticated user
  • [High] Arbitrary code execution due to unsafe deserialization of a PHP archive
  • [High] Arbitrary code execution due to the unsafe handling of an API call to a core bundled extension (Magento Shipping)
  • [High] Arbitrary code execution due to unsafe deserialization of a PHP Archive
  • [High] Sensitive data disclosure due to NGINX configuration’s regular expressions not being restricted to the explicit directories
  • [Medium] Cross Site Scripting in newsletter template name
  • [Medium] Stored cross-site scripting in the Admin Customer Segments area
  • [Medium] Unauthorized implementation due to bypassing the need for administrator authentication approval on B2B accounts
  • [Medium] Unauthorized data control due to a bypass of authentication controls for a customer using a web API endpoint
  • [Medium] SQL injection due to inadequate validation of user input
  • [Medium] Reflected cross-site scripting vulnerability in the Admin through the requisition list ID
  • [Medium] Stored cross-site scripting in the admin panel via the Admin Shopping Cart Rules page
  • [Medium] Deletion of a product attribute through cross-site request forgery
  • [Medium] Site map deletion through cross-site request forgery
  • [Medium] Deletion of synonym groups through a cross-site request forgery vulnerability
  • [Medium] Stored cross-site scripting in the admin panel via the Terms & Conditions with Checkbox Text field in the admin panel
  • [Medium] Stored cross-site scripting in the Admin through the Admin Notification function
  • [Medium] Stored cross-site scripting vulnerability in Admin product names
  • [Medium] Stored cross-site scripting in the Admin through B2B packages
  • [Medium] Stored cross-site scripting vulnerability in the Admin **Stores** > **Attributes** > **Product **configuration area
  • [Medium] Stored cross-site scripting vulnerability in the Admin through the Checkbox Custom Option Value field
  • [Medium] Stored cross-site scripting vulnerability in the Admin through B2B packages
  • [Medium] Stored cross-site scripting in the admin panel via the Attribute Label for Media Attributes section
  • [Medium] Reflected cross-site scripting through manipulation of the Admin notification feed URL
  • [Medium] Stored cross-site scripting in the Admin Catalog configuration section
  • [Medium] Stored cross-site scripting in the Admin panel through the product configurations section
  • [Medium] WYSIWYG (Cross-Site Request Forgery)
  • [Medium] Missing CAPTCHA on Send to a friend page
  • [Medium] Information disclosure in Magento 2.x default configuration
  • [Medium] Sensitive Data Disclosure due toInsecure Direct Object References vulnerability
  • [Medium] Spam using share a wishlist functionality
  • [Low] Admin credentials are logged in exception reports
  • [Low] Unauthorized access to wishlist via Insecure direct object reference in the application
  • [Low] HTML injection vulnerability due to insufficient data validation

Risultano variamente affette da queste vulnerabilità le seguenti versioni di Magento:

  • Magento Open versioni precedenti la 1.9.4.1
  • Magento Commerce versioni precedenti la 1.14.4.1
  • Magento 2.1 versioni precedenti la 2.1.17
  • Magento 2.2 versioni precedenti la 2.2.8
  • Magento 2.3 versioni precedenti la 2.3.1

Per risolvere queste vulnerabilità è necessario applicare la patch SUPEE-11086 (solo per le versioni 1.x) o aggiornare Magento ad una delle seguenti versioni:

  • Magento Open Source 1.9.4.1
  • Magento Commerce 1.14.4.1
  • Magento 2.1.17
  • Magento 2.2.8
  • Magento 2.3.1

Per maggiori informazioni sui prodotti vulnerabili e sugli aggiornamenti disponibili è possibile consultare i seguenti bollettini di sicurezza di Magento (in Inglese):

Vista la gravità delle vulnerabilità oggetto degli aggiornamenti, si raccomanda a tutti i gestori di siti Web che utilizzano Magento di aggiornare con urgenza la propria piattaforma. Si consiglia di testare la nuova versione in un ambiente di sviluppo prima di installarla su un sito in esercizio.

Notizie correlate

Aggiornamenti di sicurezza critici per Drupal 7 e 8

18 aprile 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono due vulnerabilità considerate "moderatamente critiche" nel codice "core" del noto CMS Drupal versione 7.x e 8.x.Leggi tutto

Vulnerabilità in Apache Tomcat consente esecuzione di codice da remoto

17 aprile 2019

È stata scoperta una vulnerabilità di gravità elevata in Apache Tomcat che potrebbe consentire ad un attaccante remoto di eseguire codice arbitrario sui sistemi Microsoft Windows.Leggi tutto

Aggiornamenti di sicurezza per prodotti Juniper Networks (aprile 2019)

11 aprile 2019

Juniper Networks ha pubblicato una serie di bollettini di sicurezza relativi a vulnerabilità multiple scoperte in svariati prodotti software, tra cui alcune di gravità elevata in Junos OS.Leggi tutto