A popular plataforma de e-commerce Magento, propriedade da Adobe, lançou ontem (15) uma atualização para Magento Commerce e Magento Open Source que corrige um total de nove vulnerabilidades; entre elas, duas são consideradas críticas.

A primeira dessas duas falhas é a CVE-2020-24407, uma vulnerabilidade que permite a execução de código arbitrário devido a um problema na função de upload de arquivos. Essa vulnerabilidade faz com que seja possível escapar de um processo de validação da extensão do arquivo, permitindo que um atacante possa carregar arquivos maliciosos. Para explorar essa falha, o atacante precisa de privilégios de administrador, mas sem a necessidade de contar com credenciais de acesso, já que esse procedimento não requer autenticação prévia.

A segunda vulnerabilidade crítica é a CVE-2020-24400. Nesse caso, trata-se de uma vulnerabilidade de injeção SQL que permite o acesso ao banco de dados com permissões de leitura e gravação. A exploração dessa falha não requer autenticação prévia, mas é necessário contar com privilégios de administrador.

No caso das vulnerabilidades categorizadas como importantes, de acordo com a classificação de severidade, quatro delas (CVE-2020-24402, CVE-2020-24404, CVE-2020-24405, CVE-2020-24403) permitem a autorização indevida para: modificar listas de clientes, no caso da primeira falha; modificar páginas do CMS, no caso da segunda; acessar recursos restritos, no caso das duas últimas. A exploração de nenhuma dessas quatro vulnerabilidades requer autenticação prévia, mas da mesma forma que as duas vulnerabilidades críticas, exigem que o atacante tenha privilégios de administrador.

Outra falha que se destaca é a CVE-2020-24408. Categorizada como importante, trata-se de uma vulnerabilidade XSS (Cross-site-scripting) que permite a execução arbitrária de JavaScript no navegador. Nesse caso, diferente das falhas mencionadas, sua exploração não exige que o atacante tenha privilégios de administrador, mas sim credenciais de acesso, pois requer autenticação prévia.

O pacote de atualizações lançado pela Adobe tem prioridade 2, o que significa, segundo a empresa, que é uma atualização que corrige falhas de segurança em um produto que historicamente foi alvo de ataques, mas que por enquanto não existem exploits conhecidos que tentam se aproveitar delas. Da mesma forma, a Adobe esclarece que, embora não tenham garantias sobre o surgimento de exploits para essas vulnerabilidades, o ideal é que essa atualização seja instalada o mais rápido possível.

As plataformas de e-commerce costumam ser alvos escolhidos pelos cibercriminosos para realizar principalmente ataques de web skimming - também conhecidos como Magecart - para lojas online. Em setembro deste ano, mais de 2 mil lojas online criadas com o Magento foram vítimas de uma campanha de web skimming que tentou adicionar scripts maliciosos que roubava dados dos cartões dos usuários após a realização de compras na loja.