Magento, una plataforma que utilizan numerosas empresas en sus sitios de e-commerce, emitió un conjunto de parches para corregir una vulnerabilidad crítica en su software. Era del tipo Cross-Site scripting (XSS), es decir que permitía el ingreso de código HTML en formularios web para alterar su apariencia original.
Cuando un cliente se registraba en la tienda en línea, era posible proveer una dirección de correo electrónico que contenga código JavaScript, la cual Magento no validaba en forma adecuada; a su vez, era ejecutada desde Administrador al ver la orden en el backend. Este código JavaScript podía robar la sesión del administrador o actuar en su nombre, por ejemplo, creando otra cuenta con las características que desee.
La vulnerabilidad fue inicialmente reportada el 10 de noviembre de 2015 por la firma Sucuri, aunque fue reconocida por Magento recién el 10 de diciembre. Finalmente, la semana pasada, se emitió el conjunto de parches SUPEE-7405 que corrigen el problema, catalogado como crítico y con una calificación CVSSv3 de 9.3. Afectaba a Magento Community Edition en sus versiones anteriores a 1.9.2.3 y a Magento Enterprise Edition en sus versiones anteriores a 1.14.2.3.
Este software, utilizado por numerosos sitios de comercio en línea, mueve cerca de 50 mil millones de dólares en mercadería a través de plataformas digitales de todo el mundo, desde grandes minoristas y marcas hasta pequeñas tiendas independientes, según información de New York Business Journal.
Por lo tanto, los administradores de sitios que utilicen Magento deben actualizar inmediatamente para protegerse de la eventual explotación de esta falla.
