Magento

Si utilizas la herramienta de e-commerce Magento debes actualizarla lo antes posible. El viernes publicaron una nueva actualización que corregía más de 35 fallos de seguridad críticos. Entre estos fallos de seguridad se encuentra una inyección de código SQL crítico explotable por usuarios no autenticados del sistema.

Las versiones de Magento afectadas son:

  • Magento Open Source prior to 1.9.4.1
  • Magento Commerce prior to 1.14.4.1
  • Magento Commerce 2.1 prior to 2.1.17
  • Magento Commerce 2.2 prior to 2.2.8
  • Magento Commerce 2.3 prior to 2.3.1

Todavía no hay un CVE ID asociado a este fallo pero internamente se le conoce como PRODSECBUG-2198. Ya que Magento almacena información financiera y el histórico de pedidos de los clientes, esta vulnerabilidad resulta realmente grave.