Clicky

Adobe corrige agujeros de seguridad en Magento, la mayoría de los cuales son críticos

Categoría: Seguridad
Visitas: 682
Logo de Magento

Ha publicado actualizaciones de seguridad para abordar las vulnerabilidades en Magento y Adobe Connect

Magento es una popular plataforma de comercio electrónico de código abierto. Los sitios web respaldados por Magento son infamemente atacados por los grupos criminales cibernéticos Magecart (denominados colectivamente), comprometidos y equipados con skimmers de tarjetas de pago.

Adobe ha publicado actualizaciones para las ediciones Magento Commerce y Magento Open Source, que corrigen 26 vulnerabilidades numeradas CVE, la mayoría de las cuales son críticas.

Entre estos hay una serie de errores que se pueden explotar sin credenciales y que pueden permitir la ejecución de código arbitrario, aunque todos son explotables solo si un atacante tiene privilegios administrativos. Esta última condición se puede lograr a través de otra de las vulnerabilidades solucionadas en este lote: CVE-2021-36032, que permite la escalada de privilegios.

Los atacantes no explotan activamente ninguna de las vulnerabilidades solucionadas, pero dado que Magento es un popular objetivo, se recomienda a los administradores que instalen la actualización pronto.

Las actualizaciones de Adobe Connect

Adobe Connect es un paquete de software para conferencias web, entrega de presentaciones y capacitaciones remotas y uso compartido de escritorio.

Esta última actualización de seguridad corrige tres vulnerabilidades, todas consideradas "importantes":

• Una violación no especificada de los principios de diseño seguro que podría permitir a los atacantes eludir una función de seguridad
• Dos errores XSS reflejados que podrían conducir a la ejecución de código arbitrario

Ninguna de estas está siendo explotada en la naturaleza. Dado que Adobe Connect no ha sido históricamente un objetivo para los atacantes, estas actualizaciones pueden esperar hasta que se implementen otras más críticas.