Vulnerabilità critica Magento richiede aggiornamento immediato

Grazie al lavoro del team di ricerca di Sucuri, è stata scoperta una falla di sicurezza critica nella popolare piattaforma di e-commerce Magento. E’ disponibile l’aggiornamento multiplo SUPEE-7405 che “tappa” oltre 20 falle che mettono il sito a rischio di cadere sotto il controllo dei cyber-criminali in grado di sfruttarle.

Praticamente tutte le versioni di Magento CE precedenti la 1.9.2.3 e di Magento EE precedenti alla 1.14.2.3 sono a rischio. La causa della vulnerabilità è una porzione di codice malamente scritto nelle librerie del nucleo di Magento, lato back-end , ossia pannello di controllo amministrativo. Il tipo di vulnerabilità è di tipo stored XSS (stored Cross Site Scripting), probabilmente la maggiore fonte di vulnerabilità per i siti di tutto il mondo.

Tutti i siti realizzati o mantenuti da Deltamatica su base Magento sono stati aggiornati nelle 2 ore successive al rilascio della patch. Nelle 24 ore successive alla pubblicazione della vulnerabilità, sono stati rilevati numerosi tentativi di attacco.