El 14 de junio del 2023 Adobe ha publicado una actualización de seguridad para Adobe Commerce y Magento Open Source que resuelve múltiples vulnerabilidades de severidad crítica, alta y media.

La explotación exitosa de estas vulnerabilidades podría conllevar la ejecución de código arbitrario, la omisión de características de seguridad y la lectura arbitraria del sistema de archivos.

Recursos Afectados

• Adobe Commerce, versiones 2.4.6, 2.4.5-p2, 2.4.4-p3, 2.4.3-ext-2, 2.4.2-ext-2, 2.4.1-ext-2, 2.4.0-ext-2, 2.3.7-p4-ext-2 y anteriores;
• Magento Open Source, versiones 2.4.6, 2.4.5-p2, 2.4.4-p3 y anteriores.

Solución:

Adobe recomienda actualizar a la última versión disponible:

• https://experienceleague.adobe.com/docs/commerce-operations/upgrade-guide/implementation/perform-upgrade.html?lang=es
• https://experienceleague.adobe.com/docs/commerce-cloud-service/user-guide/develop/upgrade/commerce-version.html

Siempre que sea posible, es recomendable habilitar la actualización automática en estos productos para contar no solo con las últimas funcionalidades, sino también con los parches que corrigen los fallos de seguridad publicados.

Detalles:

Entre las vulnerabilidades detectadas, una de ellas, de severidad crítica, está relacionada con un ataque de neutralización incorrecta de la entrada durante la generación de la página web, lo que podría permitir a un ciberdelincuente la ejecución de código arbitrario. Otra, de severidad alta, se debe a una autorización incorrecta y podría permitir la omisión de características de seguridad sin necesidad de autenticación para ser explotada.

En cuanto al resto, podrían permitir la omisión de características de seguridad y la lectura arbitraria del sistema de archivos.