Errores de XSS almacenados dejaban que los hackers se apropiaran de cuentas administrativas. Se les recomienda a todos los propietarios de sitios basados en Magento actualizar tan pronto como sea posible.

Los últimos parches arreglan vulnerabilidades críticas que podrían permitir a atacantes secuestrar cuentas administrativas.

El problema fue descubierto por investigadores de la empresa de seguridad Web Sucuri y proviene de una validación incorrecta de direcciones de correo electrónico en el formulario de registro del cliente.

La falla permite que un usuario malicioso incluya código JavaScript en el campo de correo electrónico, lo que conlleva a un ataque llamado cross-site scripting almacenado (stored XSS). El código JavaScript se guarda junto con el formulario y se activa cuando la cuenta de usuario aparece en el panel de back-end de la página web.

El aviso fue clasificado como crítico porque el código malicioso puede apropiarse de la sesión autenticada de un administrador o puede dar instrucciones a su navegador para realizar una acción de suplantación en el sitio web, como la adición de otra cuenta de administrador con credenciales suministradas por el atacante.

La vulnerabilidad afecta a la versiones anteriores a 1.9.2.3 de Magento Community Edition y 1.14.2.3 de Magento Enterprise Edition. Magento también dio a conocer la semana pasada un paquete de parches que llamó SUPEE-7405, el cual se puede aplicar a las versiones anteriores.

El paquete también incluye correcciones para otras 19 fallas, incluyendo una más de XSS almacenado similar, esta falla se encontraba en el formulario de comentarios; una más en el procesamiento de la cabecera HTTP_X_FORWARDED_FOR para la dirección IP del cliente. Entre otros problemas corregidos se encuentran fugas de información, derivación de CAPTCHA, solicitud de falsificación entre sitios, carga de archivos maliciosos y ataques de denegación de servicio contra la función de boletín de noticias.

Algunos de estos defectos afectan también a Magento CE 2.x y EE, por lo que la versión 2.0.1 se distribuye para ambas ediciones con el fin de hacer frente a algunos defectos críticos, junto con los erroes de XSS almacenados que sólo existen en algunas versiones.

"Si estás usando una versión vulnerable de Magento, actualiza y aplica los parches tan pronto como sea posible" dijo Marc-Alexandre Montpas, el investigador de Sucuri que encontró uno de los defectos de XSS almacenados, en un blog el viernes.

De acuerdo con la compañía que desarrolla la plataforma de comercio electrónico, Magento es utilizado por más de doscientas mil empresas, incluyendo a muchos propietarios de marcas populares. Un estudio en 2015 de 1 millón de sitios web con la mayor cantidad de tráfico encontró que Magento es utilizado por cerca del 30 por ciento de las tiendas en línea, es la plataforma de comercio electrónico más popular.

Los sitios web basados en Magento han sido anteriormente blanco de ataques a gran escala, por lo que representan un objetivo atractivo para los atacantes. En octubre, miles de tiendas en línea que ejecutan la plataforma se infectaron con el kit de exploits Neutrino.