Se o seu negócio de e-commerce on-line estiver passando pela plataforma Magento, você deve prestar atenção a essas informações.
A Magento divulgou ontem novas versões de seu software de gerenciamento de conteúdo para solucionar um total de 37 vulnerabilidades de segurança recém-descobertas.
De propriedade da Adobe desde meados de 2018, o Magento é uma das plataformas de sistema de gerenciamento de conteúdo mais popular (CMS) que alimenta 28% dos sites da Internet com mais de 250.000 comerciantes usando a plataforma de e-commerce de código aberto. Embora a maioria dos problemas relatados só possa ser explorada por usuários autenticados, uma das falhas mais graves no Magento é uma vulnerabilidade de SQL Injection, que pode ser explorada por invasores remotos não autenticados.
A falha, que não tem um ID CVE, mas internamente rotulado "PRODSECBUG-2198", pode permitir que hackers remotos roubem informações confidenciais dos bancos de dados de sites de comércio eletrônico vulneráveis, incluindo sessões administrativas ou hashes de senhas que podem conceder acesso a hackers. painel de administração.
As versões do Magento afetadas incluem:
Como os sites do Magento não apenas armazenam informações dos usuários, mas também contêm histórico de pedidos e informações financeiras de seus clientes, a falha pode levar a ataques on-line catastróficos.
Dada a natureza sensível dos dados que os sites de e-commerce Magento lidam diariamente, assim como o risco que a vulnerabilidade SQL representa, os desenvolvedores do Magento decidiram não divulgar detalhes técnicos da falha.
Além da vulnerabilidade do SQLi, o Magento também corrigiu falsificação de solicitações entre sites (CSRF), cross-site scripting (XSS), execução remota de código (RCE) e outras falhas, mas a exploração da maioria dessas falhas requer que invasores sejam autenticados o site com algum nível de privilégios.
Os donos de lojas on-line devem atualizar seus sites de comércio eletrônico para as versões atualizadas, o mais rápido possível, antes que os hackers comecem a explorar a falha para comprometer seus sites e roubar detalhes do cartão de pagamento de seus clientes.