Una vulnerabilidad supercrítica en Adobe Magento podría permitir a los atacantes comprometer completamente las plataformas de comercio electrónico, según el investigador de seguridad que lo descubrió.
Adobe ha instado a los usuarios a actualizar sus sistemas para proteger sus sitios web del abuso de la falla, a la que se le ha asignado la puntuación máxima de gravedad posible (CVSS) de 10.
Rastreado como CVE-2022-35698, la vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenado puede conducir a la ejecución de código arbitrario, según un aviso de seguridad de Adobe publicado el 11 de octubre.
La vulnerabilidad afecta a las versiones 2.4.4-p1 y anteriores, así como a la 2.4.5 y anteriores, de Adobe Commerce y Magento Open Source. se solucionó en las versiones 2.4.5-p1 y 2.4.4-p2.
Se estima que alrededor de 267 000 sitios web de comercio electrónico activos están construidos con Magento.
La actualización de software también soluciona una vulnerabilidad de control de acceso inadecuado de gravedad media que podría abusarse para eludir una función de seguridad (CVE-2022-35689).
El investigador al que se atribuye haber encontrado la vulnerabilidad crítica, ‘Blaklis’, comento: “Esta básicamente le permite a un atacante llegar al XSS un área de administración de una manera muy específica, lo que hace que sea muy fácil para la víctima activarlo con Navegación normal y regular. Eso conduce a cosas obviamente desagradables, incluido el compromiso total de la tienda. Entonces… eso explica la puntuación, supongo.
Agregaron: “Hasta donde yo sé, no hay un requisito previo específico para explotarlo, y no hay mitigaciones reales, excepto la aplicación de parches.
“La vulnerabilidad es bastante fácil de explotar y no requiere autenticación en absoluto. La Encontré al mirar su código, como lo he hecho durante un par de años, ya me sé su código de memoria”.
Los hallazgos notables anteriores de Magento de Blaklis incluyeron una vulnerabilidad de escalada de privilegios en la extensión CLI de Azure IoT en febrero y, como informó The Daily Swig, un par de vulnerabilidades críticos en 2020.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
