Grave Vulnerabilità in Magento

Proto: N080319.

Con la presente Yoroi desidera informarLa relativamente ad una grave vulnerabilità all’interno di Magento, noto framework per la realizzazione di portali e-commerce in PHP recentemente acquistato da Adobe, tra le dieci tecnologie open-source più popolari nel panorama cibernetico italiano. La criticità è nota con l’identificativo “PRODSECBUG-2198”.

La problematica è originata da lacune nella validazione degli input utente all’interno dei moduli di gestione del DataBase, attraverso le quali un attaccante remoto sprovvisto di autenticazione può iniettare codice SQL arbitrario all’interno del DBMS sottostante, ponendo a rischio di accesso abusivo l’intero database ed i sistemi ad esso connessi.

Il Produttore ha confermato la problematica rilasciando le versioni dell’e-commerce 2.3.1, 2.2.8, 2.1.17, 1.14.4.1 e 1.9.4.1 in grado di mitigare la vulnerabilità in oggetto.

Per via della potenziale esposizione internet degli applicativi affetti, della pubblicazione di dettagli tecnici e strumenti atti a replicare la problematica, Yoroi suggerisce di valutare lo stato di esposizione delle eventuali installazioni Magento all’interno delle Vostre infrastrutture e di pianificare l’installazione delle patch di sicurezza disponibili.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index