FortiGuard Labs descubre una vulnerabilidad XSS en Magento
- Vulnerabilidades
La vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario en el navegador de la víctima y luego obtener el control de las cuentas de alto privilegio de Magento para acceder a datos confidenciales o tomar el control de los sitios web vulnerables.
También puedes leer... Cómo evaluar las opciones de SD-WAN Gestión de cuentas con privilegios para Dummies |
Si bien el comercio electrónico nos facilita mucho la vida, actualmente afronta un número creciente de amenazas online. Según el ranking de plataformas de comercio electrónico Top 1M de Alexa, Magento Commerce actualmente posee una participación de mercado de más del 14%, lo que la convierte en la segunda plataforma de comercio electrónico más grande del mundo. Los clientes de Magento incluyen algunas compañías altamente reconocibles, como HP, Coca-Cola y Canon. Pues bien, el equipo de FortiGuard Labs ha descubierto recientemente una vulnerabilidad de Cross-Site Scripting (XSS) en Magento.
Esta vulnerabilidad XSS se debe a que Magento no ha podido sanear los datos proporcionados por el usuario antes de insertarlos en un formulario de widget generado dinámicamente. Si bien esta vulnerabilidad de XSS solo existe en la página del administrador de Magento, podría permitir que un atacante remoto ejecute código arbitrario en el navegador de la víctima y luego obtener el control de las cuentas de alto privilegio de Magento para acceder a datos confidenciales o tomar el control de los sitios web vulnerables.
La vulnerabilidad afecta a Magento Commerce 2.1, antes de 2.1.16, y a Magento Commerce 2.2, antes de 2.2.7. Se recomienda a todos los usuarios de versiones vulnerables que actualicen a la última versión de Magento o apliquen los últimos parches de inmediato. Además, las organizaciones que han implementado soluciones IPS de Fortinet ya están protegidas de esta vulnerabilidad.