Vulnerabilidades de ejecución de comandos y códigos arbitrarios en plataforma OpenMage LTS de Magento

Se han reportado dos nuevos avisos de seguridad sobre dos vulnerabilidades que afectan a la plataforma OpenMage LTS de Magento, que permitirían a un atacante remoto realizar ejecución de comandos y códigos arbitrarios en el sistema afectado. 

Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Alta”. Las mismas se detallan a continuación: 

  • CVE-2021-41144, de severidad “alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de validación de entradas del usuario en el componente de diseño de bloques de OpenMage LTS. Un atacante remoto y autenticado podría aprovechar esta vulnerabilidad para evadir el control de lista negra implementado y realizar ejecución arbitraria de código en el sistema afectado. 
  • CVE-2021-39217, de severidad “alta”, con una puntuación asignada de 7.2. Esta vulnerabilidad se debe a la validación incorrecta del usuario en métodos de bloques personalizados de OpenMage LTS. Un atacante remoto y autenticado podría aprovechar esta vulnerabilidad para realizar ejecución arbitraria de comandos en el sistema afectado. 

El producto afectado es: 

  • OpenMage Magento-lts, versiones 20.0.8 y 19.4.12. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en los siguientes enlaces: 

Referencias:  

Compartir: