Plataforma
php
Componente
magento/community-edition
Corregido en
2.4.5
La vulnerabilidad CVE-2024-20719 es una falla de Cross-Site Scripting (XSS) almacenada que afecta a Adobe Commerce (Magento) Community Edition. Esta falla permite a un atacante con acceso de administrador inyectar scripts maliciosos en las páginas de administración, comprometiendo potencialmente la seguridad de la plataforma. Las versiones afectadas son aquellas anteriores o iguales a 2.4.6; la solución recomendada es actualizar a la versión 2.4.4.
Un atacante que explote esta vulnerabilidad podría inyectar código JavaScript malicioso en cualquier página de administración de Magento. Este código podría ser utilizado para robar credenciales de administrador, realizar acciones en nombre del administrador, o incluso tomar el control completo del sitio web. El impacto es significativo, ya que la ejecución de JavaScript en el contexto del administrador permite un amplio rango de ataques, incluyendo la exfiltración de datos sensibles y la modificación de la configuración del sistema. Dada la naturaleza de XSS almacenado, la persistencia del ataque es alta, ya que el script malicioso permanece en la base de datos hasta que sea eliminado.
Esta vulnerabilidad fue publicada el 15 de febrero de 2024. No se ha reportado explotación activa a gran escala, pero la naturaleza de XSS almacenado y la alta puntuación CVSS (9.1) sugieren un riesgo significativo. La disponibilidad de un exploit público podría aumentar la probabilidad de explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Organizations running Magento Community Edition versions 2.4.6-p3, 2.4.5-p5, 2.4.4-p6, and earlier are at significant risk. Specifically, those with limited resources for immediate patching or those relying on shared hosting environments where patching is managed by the hosting provider are particularly vulnerable. Magento installations with weak admin panel access controls are also at higher risk.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/app/code/Magento/Admin/block/• generic web:
curl -I https://your-magento-site.com/admin/ | grep -i "X-XSS-Protection"• generic web:
curl -I https://your-magento-site.com/admin/ | grep -i "Content-Security-Policy"disclosure
Estado del Exploit
EPSS
1.15% (78% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-20719 es actualizar a la versión 2.4.4 o superior de Adobe Commerce (Magento). Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se puede considerar la implementación de políticas de seguridad de contenido (CSP) para restringir la ejecución de scripts en las páginas de administración. Monitorear los logs de Magento en busca de patrones de inyección de código también puede ayudar a detectar y responder a posibles ataques.
Actualice Adobe Commerce a la última versión disponible. Consulte el boletín de seguridad de Adobe para obtener más información y las versiones corregidas. Aplique los parches de seguridad proporcionados por Adobe lo antes posible.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-20719 is a critical stored Cross-Site Scripting (XSS) vulnerability in Magento Community Edition versions 2.4.6-p3 and earlier, allowing attackers to inject malicious scripts into admin pages.
Yes, if you are running Magento Community Edition versions 2.4.6-p3, 2.4.5-p5, 2.4.4-p6, or earlier, you are affected by this vulnerability.
Upgrade Magento Community Edition to version 2.4.4 or later to resolve this vulnerability. Implement WAF rules and restrict admin panel access as temporary mitigations.
While no confirmed exploitation has been publicly reported, the vulnerability's criticality and ease of exploitation suggest a high probability of exploitation.
Refer to the official Magento Security Advisories page for details: https://devdocs.magento.com/security/
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.