Magento 2.3.4 se lanzó esta semana con parches para seis vulnerabilidades, incluidas tres que se consideran críticas.
El primero de estos graves problemas de seguridad está relacionado con la deserialización de datos no confiables. Rastreado como CVE-2020-3716, el error podría conducir a la ejecución de código arbitrario.
Otro defecto crítico que podría permitir la ejecución de código arbitrario es CVE-2020-3718, que Adobe describe como un problema de seguridad.
La tercera vulnerabilidad crítica tratada en esta versión es una inyección de SQL que podría conducir a la divulgación de información confidencial, y que se tipifico como CVE-2020-3719.
Las tres vulnerabilidades restantes parcheadas en Magento 2.3.4 se consideran importantes y las tres podrían dar lugar a la divulgación de información confidencial.
Identificados como CVE-2020-3715 y CVE-2020-3758, los dos primeros son defectos almacenados de scripting entre sitios (XSS), mientras que el tercero es un recorrido transversal con el número CVE CVE-2020-3717.
Se descubrió que estas vulnerabilidades afectan tanto a Magento Commerce como a Magento Open Source, versiones 2.3.3 y anteriores y 2.2.10 y anteriores, así como a Magento Enterprise Edition 1.14.4.3 y anteriores, y Magento Community Edition 1.9.4.3 y anteriores.
Con la versión trimestral anterior, Adobe también introdujo parches solo de seguridad, que permiten a los comerciantes instalar correcciones de vulnerabilidades urgentes sin tener que aplicar todos los parches funcionales y mejoras que normalmente se incluyen en una versión trimestral completa.
Por lo tanto, las correcciones para las vulnerabilidades que se han identificado en Magento 2.3.3 se incluyeron en el parche 2.3.3.1 (paquete Composer 2.3.3-p1), un parche solo de seguridad que también incluye todas las revisiones aplicadas a la versión 2.3.3 .
"Los parches de seguridad incluyen solo correcciones de errores de seguridad, no las mejoras de seguridad adicionales que se incluyen en el parche completo", subraya la compañía.
A partir de esta versión trimestral, los problemas de seguridad se documentarán en un boletín de seguridad de Adobe, pero ya no se describirán en el Centro de seguridad de Magento.
En un intento por reducir la superficie de ataque y prevenir ataques de ejecución remota de código, la nueva versión de Magento convierte el campo Actualización de diseño personalizado en las páginas Edición de página CMS, Edición de categoría y Edición de producto en un selector.
"Ya no puede especificar una actualización de diseño específica de la entidad con texto, sino que debe crear un archivo físico que contenga las actualizaciones de diseño y seleccionarlo para su uso", revelan las notas de la versión de Magento 2.3.4.
Además, las características de la plantilla de contenido se rediseñaron para permitir que solo las variables incluidas en la lista blanca se agreguen a las plantillas. El objetivo es evitar la inclusión en plantillas definidas por el administrador, como correo electrónico, boletines y contenido de CMS, de variables y directivas que llaman directamente a las funciones de PHP en los objetos.
“No se han producido ataques confirmados relacionados con estos problemas hasta la fecha. Sin embargo, ciertas vulnerabilidades pueden ser potencialmente explotadas para acceder a la información del cliente o hacerse de las sesiones de administrador. La mayoría de estos problemas requieren que un atacante obtenga primero acceso al administrador”, revelan las notas de la versión.
Fuente: Security Week
0 Comentarios