SUPEE 7405

16/12/2016

Em Janeiro de 2016 a Magento lançou SUPEE 7405 para mais uma outra correção de segurança.

O Patch SUPEE 7405 resolve várias falhas de segurança. Mas, o mais importante, corrige uma falha que permite um hacker tomar a conta de administrador da loja virtual, conseguindo acesso o backend dela.

Versões Afetadas

Esse bug afeta as versões Magento Community Edition (CE): 1.4.0.0 – 1.9.2.2.

 

Falhas Encontradas:

  1. XSS armazenado no endereço de e-mail – APPSEC-1213: Durante o registro do cliente na loja virtual, o usuário pode passar um endereço de e-mail que contenha um código JavaScript. O Magento não valida adequadamente esse e-mail e executa o código no Admin. O código JavaScript pode roubar uma sessão de administrador;
  2. XSS armazenado no comentário do pedido: Um usuário pode acrescentar comentários a um pedido usando uma solicitação especialmente criada que depende do módulo de pagamento PayFlow Pro. O Magento não filtra o pedido corretamente, o que potencialmente resulta em código JavaScript sendo salvo no banco de dados (consulte o problema APPSEC-1240) e, em seguida, executado no servidor quando o administrador tenta exibir o pedido. Este ataque pode levar a uma aquisição da sessão de administrador ou executar ações em nome do administrador;
  3. XSS armazenado no Pedido – APPSEC-1260: Em determinadas configurações, o Magento usa o cabeçalho HTTP_X_FORWARDED_FOR como o endereço IP do cliente e exibe-o sem sanitização no Painel de Administração. Um invasor pode usar esse cabeçalho para injetar código JavaScript em formulários de Exibição de Pedidos no Painel de Administração;
  4. Visualização do pedido do cliente com código de proteção vulnerável a brute-force attack – APPSEC-1270: O código de proteção de exibição de pedido do cliente torna possível acessar informações de pedidos. Isto é devido como o código é gerado e comparado com os valores armazenados. Enquanto o ataque não pode segmentar um pedido específico ou permitir que um usuário visualize todos os pedidos, ele pode ser usado para extrair informações de pedido;
  5. Informação divulgada no Feed RSS – APPSEC-1171: Você pode baixar comentários de pedidos e outras informações relacionadas ao pedido fornecendo parâmetros especiais para o request do Feed RSS. Estas informações, dependendo do conteúdo dos comentários do pedido, podem divulgar informações privadas ou ser usadas para acessar a conta do cliente ou outras informações do cliente;
  6. CSRF token inválido na página de login do backend – APPSEC-1206: A falta de proteção no formulário de login ao Admin possibilita potenciais ataques de falsificação no request. Esses ataques de falsificação pode enganar o administrador com um phishing;
  7. Upload de arquivos maliciosos via Admin – APPSEC-1306: Um administrador por fazer o upload de arquivo que contenha um código executável para o servidor, como se fosse um arquivo de logo, por exemplo, bastante ele alterar a extensão do arquivo para um formato suportado.

 

 

Instalando

Para instalação do SUPEE7405, acessei o link https://magento.com/tech-resources/download e faça o download para a versão do Magento que utiliza.

Caso tenha dúvida no processo de instalação, veja o artigo Instalando patch no Magento.

 

Arquivos corrigidos pelo SUPEE 7405

 

Neste artigo, não listei todos os problemas que são solucionados com a instalação do SUPEE 7405, mas somente alguns. Caso queira maiores informações sobre todas as falhas que o patch SUPEE 7405 corrige, clique aqui.

 

Alguma dúvida? Posta aí!!!

Um abraço.

Nenhum Comentário

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *