Estás leyendo la publicación: Vulnerabilidad crítica afecta a Magento Open Source y Adobe Commerce
Adobe anunció una vulnerabilidad crítica que afecta a Adobe Commerce y Magento Open Source. Los comerciantes de Adobe Commerce han sido atacados y la explotación de la vulnerabilidad está en la naturaleza en este momento.
Un detalle importante de la vulnerabilidad que compartió Adobe es que no se necesita autenticación para ejecutar con éxito una explotación exitosa.
Eso significa que un atacante no necesita adquirir un privilegio de inicio de sesión de usuario para aprovechar la vulnerabilidad.
El segundo detalle sobre este exploit que compartió Adobe es que los privilegios de administrador no son necesarios para explotar esta vulnerabilidad.
Calificaciones de vulnerabilidad de Adobe
Adobe publicó tres métricas de calificación para vulnerabilidades:
- Sistema de puntuación de vulnerabilidad común (CVSS)
- Prioridad
- Nivel de vulnerabilidad
Sistema de puntuación de vulnerabilidad común (CVSS)
El Common Vulnerability Scoring System (CVSS) es un estándar abierto desarrollado por una organización sin fines de lucro (Primero.org) que se basa en una escala del 1 al 10 para calificar las vulnerabilidades.
Una puntuación de uno es la menos preocupante y una puntuación de diez es el nivel más alto de gravedad de una vulnerabilidad.
La puntuación CVSS para la vulnerabilidad de Adobe Commerce y Magento es 9,8.
Nivel de prioridad de vulnerabilidad
La métrica de prioridad tiene tres niveles, 1, 2 y 3. El nivel 1 es el más grave y el nivel tres es el menos grave.
Adobe ha enumerado el nivel de prioridad de este exploit como 1, que es el nivel más alto.
El nivel de prioridad de nivel 1 significa que las vulnerabilidades se están explotando activamente en los sitios web.
Este es el peor de los casos para los comerciantes porque significa que las instancias sin parches de Adobe Commerce y Magento son vulnerables a ser pirateadas.
La definición de Adobe del nivel de prioridad 1 es:
“Esta actualización resuelve las vulnerabilidades a las que se dirigen, o que tienen un mayor riesgo de serlo, por exploit(s) en la naturaleza para una versión y plataforma de producto determinada.
Adobe recomienda a los administradores que instalen la actualización lo antes posible. (por ejemplo, dentro de las 72 horas)”.
Nivel de vulnerabilidad
Los niveles de vulnerabilidad de Adobe se denominan moderado, importante y crítico, y crítico representa el nivel más peligroso.
El nivel de vulnerabilidad asignado al exploit de código abierto de Adobe Commerce y Magento se clasifica como crítico, que es el nivel de clasificación más peligroso.
definicion de adobe del nivel crítico de calificación es:
“Una vulnerabilidad que, si se explota, permitiría la ejecución de código nativo malicioso, potencialmente sin que el usuario lo sepa”.
Explotación de ejecución de código arbitrario
Lo que hace que esta vulnerabilidad sea especialmente preocupante es el hecho de que Adobe admitió que es una vulnerabilidad de ejecución de código arbitrario.
La ejecución de código arbitrario generalmente significa que el tipo de código que puede ejecutar un atacante no tiene un alcance limitado, sino que está abierto a prácticamente cualquier código que desee para ejecutar casi cualquier tarea o comando que desee.
Una vulnerabilidad de ejecución de código arbitrario es un tipo de ataque muy grave.
Qué versiones se ven afectadas
Adobe anunció que se publicó un parche de actualización para corregir las versiones afectadas de su software.
El actualizar las notas de la versión fijado:
“Se probaron los parches para resolver el problema en todas las versiones desde la 2.3.3-p1 hasta la 2.3.7-p2 y desde la 2.4.0 hasta la 2.4.3-p1”.
El principal anuncio de vulnerabilidad indicó que las versiones 2.3.3 y anteriores de Adobe Commerce no están afectadas.https://helpx.adobe.com/security/products/magento/apsb22-12.html
Adobe recomienda que los usuarios del software afectado actualicen sus instalaciones inmediatamente.
Citas
Lea el boletín de seguridad de Adobe
Actualización de seguridad disponible para Adobe Commerce | APSB22-12
Lea las notas de la versión del parche de código abierto de Adobe Commerce y Magento
Actualizaciones de seguridad disponibles para Adobe Commerce APSB22-12
