Plataforma
php
Componente
openmage/magento-lts
Corregido en
19.4.13
20.0.9
19.4.13
La vulnerabilidad CVE-2021-21427 es una inyección SQL que afecta a Magento LTS. Esta falla permite a un atacante obtener acceso no autorizado a recursos restringidos dentro del sistema. Las versiones afectadas son aquellas iguales o menores a v19.4.9. Se ha publicado una solución y se recomienda actualizar a v19.4.13 o v20.0.9.
Esta inyección SQL permite a un atacante, con privilegios de administrador, ejecutar consultas SQL arbitrarias en la base de datos de Magento. Esto puede resultar en la exfiltración de información sensible, como credenciales de usuario, datos de clientes, información de tarjetas de crédito, y datos de productos. Un atacante podría modificar datos, eliminar registros, o incluso tomar control total del servidor. La vulnerabilidad es similar en impacto a otras inyecciones SQL que han afectado a plataformas de comercio electrónico, pudiendo causar daños significativos a la reputación y las operaciones de la empresa.
CVE-2021-21427 fue publicado el 22 de abril de 2021. Se considera una vulnerabilidad de alta probabilidad de explotación debido a su criticidad y la disponibilidad de herramientas para la inyección SQL. Esta vulnerabilidad es un backport de CVE-2021-21024. No se ha confirmado explotación activa a gran escala, pero la naturaleza de la vulnerabilidad la hace un objetivo atractivo para los atacantes.
Organizations running Magento LTS installations, particularly those with legacy configurations or custom extensions that may not be regularly updated, are at significant risk. Shared hosting environments where multiple Magento stores share the same database are also vulnerable, as a compromise of one store could potentially impact others.
• php: Review application logs for suspicious SQL queries or error messages related to database interactions. Use a code analysis tool to scan for potential SQL injection vulnerabilities in custom code.
• generic web: Use curl or wget to test potentially vulnerable endpoints with SQL injection payloads (e.g., ' OR '1'='1). Examine response headers for unusual behavior.
• database (mysql): Connect to the Magento database using a MySQL client and attempt to execute malicious SQL queries. Monitor database logs for unauthorized access attempts.
disclosure
patch
Estado del Exploit
EPSS
0.64% (70% percentil)
Vector CVSS
La mitigación principal para CVE-2021-21427 es actualizar a una versión de Magento LTS que incluya la corrección, específicamente v19.4.13 o v20.0.9. Si la actualización inmediata no es posible, se recomienda implementar reglas de firewall de aplicaciones web (WAF) para bloquear consultas SQL maliciosas. Además, revise y endurezca la configuración de la base de datos MySQL, limitando los privilegios de los usuarios y aplicando las últimas actualizaciones de seguridad. Después de la actualización, confirme la mitigación ejecutando pruebas de penetración para verificar que la inyección SQL ya no sea posible.
Actualice Magento LTS a la versión 19.4.13 o 20.0.9, o a una versión posterior, para corregir la vulnerabilidad de inyección SQL ciega. Esta actualización corrige un problema que podría permitir a un administrador no autorizado acceder a recursos restringidos. Se recomienda realizar una copia de seguridad antes de actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2021-21427 is a critical SQL injection vulnerability affecting Magento LTS versions up to v19.4.9, allowing unauthorized access to restricted resources.
If you are running Magento LTS versions 19.4.9 or earlier, you are vulnerable. Upgrade to v19.4.13 or v20.0.9 to resolve the issue.
Upgrade to Magento LTS version 19.4.13 or 20.0.9. Consider temporary workarounds like input validation if immediate upgrade is not possible.
While no active exploitation campaigns have been publicly confirmed, the CRITICAL severity makes it a high-priority target.
Refer to the Adobe Security Bulletin APSB21-08: https://helpx.adobe.com/security/products/magento/apsb21-08.html
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.