Vulnerabilidades de ejecución de comandos y códigos arbitrarios en plataforma OpenMage LTS de Magento

Se han reportado dos nuevos avisos de seguridad sobre dos vulnerabilidades que afectan a la plataforma OpenMage LTS de Magento, que permitirían a un atacante remoto realizar ejecución de comandos y códigos arbitrarios en el sistema afectado. 

Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Alta”. Las mismas se detallan a continuación: 

• CVE-2021-41144, de severidad “alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de validación de entradas del usuario en el componente de diseño de bloques de OpenMage LTS. Un atacante remoto y autenticado podría aprovechar esta vulnerabilidad para evadir el control de lista negra implementado y realizar ejecución arbitraria de código en el sistema afectado. 
• CVE-2021-39217, de severidad “alta”, con una puntuación asignada de 7.2. Esta vulnerabilidad se debe a la validación incorrecta del usuario en métodos de bloques personalizados de OpenMage LTS. Un atacante remoto y autenticado podría aprovechar esta vulnerabilidad para realizar ejecución arbitraria de comandos en el sistema afectado. 

El producto afectado es: 

• OpenMage Magento-lts, versiones 20.0.8 y 19.4.12. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en los siguientes enlaces: 

• https://github.com/OpenMage/magento-lts/releases/tag/v19.4.22 
• https://github.com/OpenMage/magento-lts/releases/tag/v20.0.19  

Referencias:  

• https://www.redpacketsecurity.com/openmage-lts-command-execution-cve-2021-39217/ 
• https://www.redpacketsecurity.com/openmage-lts-code-execution-cve-2021-41144/ 

• https://nvd.nist.gov/vuln/detail/CVE-2021-41144 
• https://nvd.nist.gov/vuln/detail/CVE-2021-39217 
• https://github.com/OpenMage/magento-lts/releases/tag/v19.4.22 
• https://github.com/OpenMage/magento-lts/releases/tag/v20.0.19