Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza critici per Magento

adobe  cross-site scripting  Magento  remote code execution  SQL injection   mercoledì, 29 gennaio 2020

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento (acquisita da Adobe nel 2018) che risolvono un totale di 6 vulnerabilità, di cui tre critiche e altre tre di gravità elevata. Se sfruttate con successo, le più gravi di queste vulnerabilità potrebbero consentire l’esecuzione di codice arbitrario nel contesto dell’applicazione affetta, con conseguente potenziale compromissione totale del sito Web.

Dettagli delle vulnerabilità in Magento (in Inglese):

  • [Important] A Stored cross-site scripting vulnerability that could cause sensitive information disclosure (CVE-2020-3715)
  • [Important] A Stored cross-site scripting vulnerability that could cause sensitive information disclosure (CVE-2020-3758)
  • [Critical] An issue in deserialization of untrusted data that could cause arbitrary code execution (CVE-2020-3716)
  • [Important] A path traversal issue that could cause sensitive information disclosure (CVE-2020-3717)
  • [Critical] A security bypass issue that could cause arbitrary code execution (CVE-2020-3718)
  • [Critical] An SQL injection vulnerability that could cause sensitive information disclosure (CVE-2020-3719)

Risultano affette da queste vulnerabilità le seguenti versioni di Magento:

  • Magento 2.3 (Commerce e Open Source) versione 2.3.3 e precedenti
  • Magento 2.2 (Commerce e Open Source) versione 2.2.10 e precedenti
  • Magento Enterprise Edition versione 1.14.4.3 e precedenti
  • Magento Community Edition versione 1.9.4.3 e precedenti

Per risolvere queste vulnerabilità è necessario aggiornare Magento ad una delle seguenti versioni:

  • Magento Commerce 2.3.4
  • Magento Open Source 2.3.4
  • Magento Commerce 2.2.11
  • Magento Open Source 2.2.11
  • Magento Enterprise Edition 1.14.4.4
  • Magento Community Edition 1.9.4.4

Per maggiori informazioni sui prodotti vulnerabili e sugli aggiornamenti disponibili è possibile consultare il seguente bollettino di sicurezza di Magento (in Inglese):

Vista la gravità delle vulnerabilità oggetto degli aggiornamenti, si raccomanda a tutti i gestori di siti Web che utilizzano Magento di aggiornare con urgenza la propria piattaforma. Si consiglia di testare la nuova versione in un ambiente di sviluppo prima di installarla su un sito in esercizio.

Notizie correlate

Aggiornamenti di sicurezza critici per Flash Player, Acrobat, Reader e altri prodotti Adobe

12 febbraio 2020

Adobe ha rilasciato aggiornamenti di sicurezza importanti e critici per Flash Player, Acrobat e Reader, Experience Manager, Framemaker e Digital Editions.Leggi tutto

Aggiornamento di sicurezza Android (febbraio 2020)

10 febbraio 2020

Google ha rilasciato l'aggiornamento di sicurezza di febbraio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto

Vulnerabilità in prodotti Cisco (5 febbraio 2020)

6 febbraio 2020

Cisco ha rilasciato il 5 febbraio 2020 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in diversi prodotti.Leggi tutto