Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza critici per Magento

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono un totale di 53 vulnerabilità, di cui 12 critiche e altre 12 di gravità elevata. Se sfruttate con successo, le più gravi di queste vulnerabilità potrebbero consentire l’esecuzione di codice arbitrario nel contesto dell’applicazione affetta, con conseguente potenziale compromissione totale del sito Web.

Dettagli delle vulnerabilità in Magento (in Inglese):

  • [Critical] Remote code execution through crafted PageBuilder templates (CVE-2019-8144)
  • [Critical] Remote code execution via file upload in admin import feature (CVE-2019-8114)
  • [Critical] Remote code execution through crafted page layout and image data (CVE-2019-8150)
  • [Critical] Remote code execution through custom layout update of the content management functionality (CVE-2019-8137)
  • [Critical] Remote code execution via vulnerable Symphony dependecy injection (CVE-2019-8135)
  • [Critical] Remote Code Execution in email templates (CVE-2019-8110)
  • [Critical] SQL Injection vulnerability via email templates (CVE-2019-8143)
  • [Critical] SQL injection via marketing account with access to email templates variables (CVE-2019-8134)
  • [Critical] Remote code execution through arbitrary file inclusion (CVE-2019-8154)
  • [Critical] Remote code execution via local file delete and XSLT injection (CVE-2019-8119)
  • [Critical] Remote code execution via custom layout update in create product functionality (CVE-2019-8122)
  • [Critical] Remote Code Execution in email templates (CVE-2019-8111)
  • [High] SQL injection when accessing group data in email templates (CVE-2019-8130)
  • [High] Using vulnerable component that provides abstraction of HTTP specification (CVE-2019-8136)
  • [High] Remote code execution due to unsafe PHP archieve deserialization in the import functionality (CVE-2019-8141)
  • [High] SQL injection in ‘Catalog Products List’ widget leading to privilege escalation (CVE-2019-8127)
  • [High] Remote Code Execution through Cross-Site Request Forgery (CSRF) (CVE-2019-8109)
  • [High] Server-side request forgery via crafted connector endpoint (CVE-2019-8156)
  • [High] Remote code execution due to unsafe handling of a carrier gateway (CVE-2019-8151)
  • [High] Information disclosure through processing of external XML entities (CVE-2019-8126)
  • [High] Arbitrary file deletion through export data data transfer (CVE-2019-8107)
  • [High] Arbitrary file deletion through design layout update (CVE-2019-8090)
  • [High] Information Disclosure via File upload functionality (CVE-2019-8093)
  • [High] Broken authentication and session management (CVE-2019-8108)
  • [Medium] Cross-Site Scripting via Attribute Set Name (CVE-2019-8145)
  • [Medium] Cross-Site Scripting via Location Name (CVE-2019-8138)
  • [Medium] Cross-Site Scripting via Dynamic block in the Page builder (CVE-2019-8139)
  • [Medium] Unrestricted upload of file with dangerous type (CVE-2019-8140)
  • [Medium] Cross-Site Scripting via inventory source (CVE-2019-8131)
  • [Medium] Bypass of sitemp access restrictions (CVE-2019-8133)
  • [Medium] Remote code execution when using functionality that imports a new product (CVE-2019-8159)
  • [Medium] Using JS libraries with known security vulnerabilities (CVE-2019-8121)
  • [Medium] Cross-Site Scripting in image file names (CVE-2019-8115)
  • [Medium] User Password is stored in clear (CVE-2019-8118)
  • [Medium] Cross-Site Scripting via Customer Attribute Option Value (CVE-2019-8146)
  • [Medium] Cross-Site Scripting via Signifyd Guarantee Option Translation Override (CVE-2019-8129)
  • [Medium] Cross-Site Scripting via PageBuilder Banner (CVE-2019-8148)
  • [Medium] Cross-Site Scripting via Customer Attribute Labels (CVE-2019-8147)
  • [Medium] Cross-Site Scripting via store name (CVE-2019-8128)
  • [Medium] Cross-Site Scripting via Payment Method Title (CVE-2019-8142)
  • [Medium] Broken authentication and session management (CVE-2019-8149)
  • [Medium] Cross-Site Scripting via Email Template Name (CVE-2019-8132)
  • [Medium] Cross-Site Scripting via admin panel (CVE-2019-8157)
  • [Medium] Stored cross-site scripting (XSS) from URL in to product page (CVE-2019-8117)
  • [Medium] Cross side scripting via admin panel dashboard (CVE-2019-8120)
  • [Medium] Cross side scripting during the preview of email templates (CVE-2019-8092)
  • [Medium] Cross-Site Scripting via wysiwyg editor (CVE-2019-8152)
  • [Medium] Cross-Site Scripting mitigation bypass (CVE-2019-8153)
  • [Low] Bypass of user confirmation mechanism (CVE-2019-8112)
  • [Low] Use of weak cryptographic function (CVE-2019-8113)
  • [Low] XPath Injection via front end rendering functionality (CVE-2019-8158)
  • [Low] Insufficient logging and monitoring of configuration changes (CVE-2019-8123)
  • [Low] Missing logs of configuration changes related to design update (CVE-2019-8124)

Risultano variamente affette da queste vulnerabilità le seguenti versioni di Magento:

  • Open Source versioni precedenti la 1.9.4.3
  • Magento Commerce versioni precedenti la 1.14.4.3
  • Magento 2.2 versioni precedenti la 2.2.10
  • Magento 2.3 versioni precedenti la 2.3.3 o 2.3.2-p2

Per risolvere queste vulnerabilità è necessario applicare la patch SUPEE-11219 (solo per le versioni 1.x) o aggiornare Magento ad una delle seguenti versioni:

  • Magento Open Source 1.9.4.3
  • Magento Commerce 1.14.4.3
  • Magento 2.2.10
  • Magento 2.3.2-p2
  • Magento 2.3.3

Per maggiori informazioni sui prodotti vulnerabili e sugli aggiornamenti disponibili è possibile consultare i seguenti bollettini di sicurezza di Magento (in Inglese):

Vista la gravità delle vulnerabilità oggetto degli aggiornamenti, si raccomanda a tutti i gestori di siti Web che utilizzano Magento di aggiornare con urgenza la propria piattaforma. Si consiglia di testare la nuova versione in un ambiente di sviluppo prima di installarla su un sito in esercizio.

Notizie correlate

Aggiornamenti di sicurezza per Moodle (novembre 2019)

18 novembre 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono 6 vulnerabilità di cui due di gravità elevata nella piattaforma di e-learning open source Moodle.Leggi tutto

Risolte due vulnerabilità in Joomla! 3.9.13

6 novembre 2019

Il Joomla! Project ha rilasciato la versione 3.9.13 del suo CMS che risolve due vulnerabilità di bassa gravità nel codice "core" dell'applicazione.Leggi tutto

Aggiornamento di sicurezza Android (novembre 2019)

6 novembre 2019

Google ha rilasciato l'aggiornamento di sicurezza di novembre che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto