Nov 12, 2019 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 0

Il CMS specializzato in siti di e-commerce ha una vulnerabilità che consente l’esecuzione di codice in remoto. Disponibili le patch per tutte le versioni.

Una vulnerabilità in un Content Management System (CMS) per la creazione di siti Internet è sempre una brutta notizia. Se la falla di sicurezza riguarda Magento, il CMS più usato per la creazione e gestione di siti di commercio elettronico, il problema rischia di diventare gigantesco.

I siti di e-commerce, infatti, sono uno dei bersagli preferiti dei pirati informatici e in particolare di gruppi come MageCart, i cyber-criminali specializzati nel furto di dati di carte di credito.

A turbare i sonni degli esperti di sicurezza, questa volta, è un bug (CVE-2019-8144) che consente di portare un attacco alle versioni 2.3.1 e 2.3.2 di Magento Commerce, così come di Page Builder.

Secondo quanto riportato dallo sviluppatore del CMS, la vulnerabilità consentirebbe a un utente senza autenticazione di installare un qualsiasi malware sui siti creati con Magento. La scoperta del bug risale allo scorso 8 ottobre, ma sembra che gli utenti di Magento non abbiano preso troppo sul serio la segnalazione.

Ecco perché l’azienda ha pubblicato un “richiamo” all’interno della sezione del sito dedicata alla sicurezza in cui richiama l’attenzione sulla necessità di aggiornare il prima possibile il programma.

Che la situazione sia critica lo dimostra la reazione della stessa azienda che commercializza il software. Nonostante il bug sia stato corretto nella versione 2.3.3 di Magento, infatti, sono state rese disponibili delle patch anche per le versioni 2.3.2 e 2.3.1.

Una mossa, questa, che vuole aggirare uno dei più frequenti ostacoli che si presentano quando viene distribuito un aggiornamento, cioè la diffidenza degli amministratori che temono di andare incontro a problemi legati a eventuali incompatibilità con la nuova versione del software.

La ragione di tutta questa fretta è da ricercare nel fatto che i pirati informatici stanno probabilmente sfruttando attivamente la falla di sicurezza per colpire i siti vulnerabili. Non è un caso che il report relativo al bug contenga il suggerimento per gli amministratori dei siti, una volta installata la patch, di eseguire in ogni caso un controllo per verificare che il sito non sia stato compromesso prima dell’installazione dell’aggiornamento.

Il suggerimento, quindi, è quello di applicare le patch per qualsiasi versione di Magento con la massima urgenza.