Actualidad

Critical vulnerability affects Magento Open Source and Adobe Commerce.

Estás leyendo la publicación: Vulnerabilidad crítica afecta a Magento Open Source y Adobe Commerce

Adobe anunció una vulnerabilidad crítica que afecta a Adobe Commerce y Magento Open Source. Los comerciantes de Adobe Commerce han sido atacados y la explotación de la vulnerabilidad está en la naturaleza en este momento.

Un detalle importante de la vulnerabilidad que compartió Adobe es que no se necesita autenticación para ejecutar con éxito una explotación exitosa.

Eso significa que un atacante no necesita adquirir un privilegio de inicio de sesión de usuario para aprovechar la vulnerabilidad.

El segundo detalle sobre este exploit que compartió Adobe es que los privilegios de administrador no son necesarios para explotar esta vulnerabilidad.

Calificaciones de vulnerabilidad de Adobe

Adobe publicó tres métricas de calificación para vulnerabilidades:

  1. Sistema de puntuación de vulnerabilidad común (CVSS)
  2. Prioridad
  3. Nivel de vulnerabilidad

Sistema de puntuación de vulnerabilidad común (CVSS)

El Common Vulnerability Scoring System (CVSS) es un estándar abierto desarrollado por una organización sin fines de lucro (Primero.org) que se basa en una escala del 1 al 10 para calificar las vulnerabilidades.

Una puntuación de uno es la menos preocupante y una puntuación de diez es el nivel más alto de gravedad de una vulnerabilidad.

La puntuación CVSS para la vulnerabilidad de Adobe Commerce y Magento es 9,8.

Nivel de prioridad de vulnerabilidad

La métrica de prioridad tiene tres niveles, 1, 2 y 3. El nivel 1 es el más grave y el nivel tres es el menos grave.

Adobe ha enumerado el nivel de prioridad de este exploit como 1, que es el nivel más alto.

🔥 Recomendado:  Papel de Meetanshi para la contribución de la comunidad de Magento durante la crisis de COVID-19

El nivel de prioridad de nivel 1 significa que las vulnerabilidades se están explotando activamente en los sitios web.

Este es el peor de los casos para los comerciantes porque significa que las instancias sin parches de Adobe Commerce y Magento son vulnerables a ser pirateadas.

La definición de Adobe del nivel de prioridad 1 es:

“Esta actualización resuelve las vulnerabilidades a las que se dirigen, o que tienen un mayor riesgo de serlo, por exploit(s) en la naturaleza para una versión y plataforma de producto determinada.

Adobe recomienda a los administradores que instalen la actualización lo antes posible. (por ejemplo, dentro de las 72 horas)”.

Nivel de vulnerabilidad

Los niveles de vulnerabilidad de Adobe se denominan moderado, importante y crítico, y crítico representa el nivel más peligroso.

El nivel de vulnerabilidad asignado al exploit de código abierto de Adobe Commerce y Magento se clasifica como crítico, que es el nivel de clasificación más peligroso.

definicion de adobe del nivel crítico de calificación es:

“Una vulnerabilidad que, si se explota, permitiría la ejecución de código nativo malicioso, potencialmente sin que el usuario lo sepa”.

Explotación de ejecución de código arbitrario

Lo que hace que esta vulnerabilidad sea especialmente preocupante es el hecho de que Adobe admitió que es una vulnerabilidad de ejecución de código arbitrario.

La ejecución de código arbitrario generalmente significa que el tipo de código que puede ejecutar un atacante no tiene un alcance limitado, sino que está abierto a prácticamente cualquier código que desee para ejecutar casi cualquier tarea o comando que desee.

Una vulnerabilidad de ejecución de código arbitrario es un tipo de ataque muy grave.

🔥 Recomendado:  Cómo agregar una nueva región para un país específico en Magento 2

Qué versiones se ven afectadas

Adobe anunció que se publicó un parche de actualización para corregir las versiones afectadas de su software.

El actualizar las notas de la versión fijado:

“Se probaron los parches para resolver el problema en todas las versiones desde la 2.3.3-p1 hasta la 2.3.7-p2 y desde la 2.4.0 hasta la 2.4.3-p1”.

El principal anuncio de vulnerabilidad indicó que las versiones 2.3.3 y anteriores de Adobe Commerce no están afectadas.https://helpx.adobe.com/security/products/magento/apsb22-12.html

Adobe recomienda que los usuarios del software afectado actualicen sus instalaciones inmediatamente.

Citas

Lea el boletín de seguridad de Adobe

Actualización de seguridad disponible para Adobe Commerce | APSB22-12

Lea las notas de la versión del parche de código abierto de Adobe Commerce y Magento

Actualizaciones de seguridad disponibles para Adobe Commerce APSB22-12

Información sobre clasificaciones de gravedad de exploits

Calificaciones de gravedad de Adobe

Otros temas interesantes: