Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza critici per Magento

adobe  cross-site scripting  Magento  remote code execution  SQL injection   mercoledì, 29 gennaio 2020

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento (acquisita da Adobe nel 2018) che risolvono un totale di 6 vulnerabilità, di cui tre critiche e altre tre di gravità elevata. Se sfruttate con successo, le più gravi di queste vulnerabilità potrebbero consentire l’esecuzione di codice arbitrario nel contesto dell’applicazione affetta, con conseguente potenziale compromissione totale del sito Web.

Dettagli delle vulnerabilità in Magento (in Inglese):

  • [Important] A Stored cross-site scripting vulnerability that could cause sensitive information disclosure (CVE-2020-3715)
  • [Important] A Stored cross-site scripting vulnerability that could cause sensitive information disclosure (CVE-2020-3758)
  • [Critical] An issue in deserialization of untrusted data that could cause arbitrary code execution (CVE-2020-3716)
  • [Important] A path traversal issue that could cause sensitive information disclosure (CVE-2020-3717)
  • [Critical] A security bypass issue that could cause arbitrary code execution (CVE-2020-3718)
  • [Critical] An SQL injection vulnerability that could cause sensitive information disclosure (CVE-2020-3719)

Risultano affette da queste vulnerabilità le seguenti versioni di Magento:

  • Magento 2.3 (Commerce e Open Source) versione 2.3.3 e precedenti
  • Magento 2.2 (Commerce e Open Source) versione 2.2.10 e precedenti
  • Magento Enterprise Edition versione 1.14.4.3 e precedenti
  • Magento Community Edition versione 1.9.4.3 e precedenti

Per risolvere queste vulnerabilità è necessario aggiornare Magento ad una delle seguenti versioni:

  • Magento Commerce 2.3.4
  • Magento Open Source 2.3.4
  • Magento Commerce 2.2.11
  • Magento Open Source 2.2.11
  • Magento Enterprise Edition 1.14.4.4
  • Magento Community Edition 1.9.4.4

Per maggiori informazioni sui prodotti vulnerabili e sugli aggiornamenti disponibili è possibile consultare il seguente bollettino di sicurezza di Magento (in Inglese):

Vista la gravità delle vulnerabilità oggetto degli aggiornamenti, si raccomanda a tutti i gestori di siti Web che utilizzano Magento di aggiornare con urgenza la propria piattaforma. Si consiglia di testare la nuova versione in un ambiente di sviluppo prima di installarla su un sito in esercizio.

Notizie correlate

Aggiornamento di sicurezza critico per Adobe Creative Cloud Desktop Application

25 marzo 2020

Adobe ha rilasciato un aggiornamento di sicurezza per Creative Cloud Desktop Application che corregge una vulnerabilità critica che potrebbe consentire la cancellazione di file arbitrari.Leggi tutto

Vulnerabilità critiche 0-day in libreria Adobe Type Manager su Windows

24 marzo 2020

Sono state scoperte due vulnerabilità critiche zero-day nella gestione dei caratteri Adobe Type 1 in Windows che possono causare l'esecuzione di codice arbitrario da remoto.Leggi tutto

Aggiornamento di sicurezza critico per Drupal 8

20 marzo 2020

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata "moderately critical" nel codice "core" del noto CMS Drupal versione 8.x.Leggi tutto