Vulnerabilidad grave en Magento, aplica el parche de seguridad cuanto antes
¿Tu tienda online está basada en Magento? Si es que si, existe una gran probabilidad de que se vea afectada por la recientemente vulnerabilidad publicada por Check Point, que puede tener efectos críticos en tu web.
Esta vulnerabilidad es una vulnerabilidad crítica RCE (remote code execution) que puede llegar a permitir a terceros tomar el control de tu tienda online y obtener información de datos personales, incluyendo incluso datos de tarjetas de crédito si estuvieran almacenados en Magento. El alcance de la vulnerabilidad es muy importante ya que se estima que 200.000 tiendas online puedan verse afectadas.
Según Check Point, la vulnerabilidad fue comunicada de forma privada a eBay antes de su anuncio público. Esto ha permitido que se lanzara un patch de Magento que resuelve esta vulnerabilidad el 9 de Febrero [SUPEE-5344, disponible aquí], antes de hacer pública la vulnerabilidad el pasado 22 de Abril. Para evitar tener problemas derivados de esta vulnerabilidad, resulta muy importante que se aplique este parche cuanto antes si no ha sido aplicado ya mismo.
Nosotros hemos hablado con algunos de nuestros partners Magento, y la mayoría de ellos (como Interactiv4, Onestic, eCommbits u Oscar Reales) ya han aplicado con tiempo las medidas de seguridad necesarias, así como este parche, para evitar cualquier problema de seguridad. Así que si tu tienda está gestionada por alguno de estos partners, muy seguramente estarás fuera de peligro. Si no estás seguro de si tu tienda tiene aplicado este parche de seguridad, ponte en contacto con tu desarrollador cuanto antes para corroborar que se ha aplicado el parche de seguridad o pedir que lo apliquen cuanto antes para evitar mayores problemas.
Más detalles sobre el ataque
La vulnerabilidad está basada en una cadena de distintas vulnerabildades que de forma conjunta permiten a un atacante no autorizado a ejecutar código PHP en el servidor web. De esta forma el atacante puede saltarse todos los mecanismos de seguridad y tomar el control de la tienda, su base de datos y cualquier información existente en la tienda online.
Este ataque no está limitado a ningún plugin o tema en particular, ya que las vulnerabilidades están presentes en el core de Magento y afecta a cualquier instalación por defecto de Magento, tanto en sus versiones Community o Enterprise.
Cómo protegerse de la vulnerabilidad
Cualquier negocio online basado en Magento debe aplicar el parche de seguridad SUPEE-5344 lanzado por Magento. También sería adecuado que los adminsitradores de los sitios monitoricen los logs de acceso para poder detectar patrones de comportamiento que encajen con la descripción técnica.
Cofundador y CMO de BrainSINS. Apasionado del eCommerce, conversiones, márketing online y Big Data.
Suscríbete a nuestra newsletter
Descubre nuestros eventos y podcast
Últimos posts
- Fotografía eCommerce Publica una Guía Gratuita para Vender Más en Instagram
- Primer Hackaton de Tiendas Online de España
- Video: Diseñando tu estrategia de CX con el Customer Experience Game Canvas
- Podcast con Javier Cuervo de 39ytu sobre Nutrición Personalizada y Comercio Electrónico
- Vídeo del evento OmniCanalidad Real con Fares Kameli, Neuromobile, tudecora.com y Biocryptology
Artículos recientes
- Fotografía eCommerce Publica una Guía Gratuita para Vender Más en Instagram 12/09/2019
- Primer Hackaton de Tiendas Online de España 05/09/2019
- Video: Diseñando tu estrategia de CX con el Customer Experience Game Canvas 22/07/2019
- Podcast con Javier Cuervo de 39ytu sobre Nutrición Personalizada y Comercio Electrónico 01/07/2019
- Vídeo del evento OmniCanalidad Real con Fares Kameli, Neuromobile, tudecora.com y Biocryptology 01/07/2019
Sempre bom manter atualizado!
http://Www.izcommerce.com