Bug Stored XSS: Sicurezza Magento a rischio

Magento, la popolare piattaforma di e-commerce, è di nuovo sotto attacco: il bug stored XSS sta mettendo a rischio migliaia di negozi online. 

Se stai usando Magento per il tuo e-commerce, sicuramente non potevi scegliere un CMS più intuitivo e performante. Ma come tutte le piattaforme, anche Magento può essere soggetto a problemi legati alla sicurezza: una nuova vulnerabilità, corretta di recente sulla piattaforma Magento, sta mettendo a rischio milioni di siti e-commerce: proprio in questi giorni è stato infatti segnalato un nuovo bug particolarmente insidioso e preoccupante per chiunque lavori con gli e-commerce.

In cosa consiste il bug?

Il bug Stored XSS consente ad eventuali malintenzionati di integrare codice JavaScript malevolo all’interno dei form di registrazione dei nuovi utenti. Così facendo, gli aggressori esterni sarebbero in grado di acquisire i dati degli utenti e degli amministratori, avendo poi modo di prendere pieno possesso di un negozio online sfruttando i privilegi di amministratore per creare un nuovo account amministratore ed eseguire tutte le operazioni e modifiche permesse ad un amministratore legittimo.

Quali sono le versioni più a rischio?

Nello specifico, il bug è contenuto sia nelle versioni di Magento 1 Community Edition precedenti a 1.9.2.3, sia in quelle della Enterprise Edition precedenti a 1.14.2.3.
Il bug interessa anche Magento 2 Community Edition e Enterprise Edition con numero di versione inferiore a 2.0.1.

Come risolvere il problema?

Trattandosi di una vulnerabilità Stored XSS ad alto rischio, non sarebbe assolutamente saggio sottovalutare il problema: allo stato attuale, il settore del commercio elettronico rappresenta un’importante fonte di guadagno per un’impresa e il corretto funzionamento della propria piattaforma è sicuramente alla base di un’efficace gestione e promozione dei propri prodotti e servizi.

Di qui la necessità di procedere subito con l’installazione della patch di sicurezza SUPEE-7405, rilasciata il 20.01.2016 per risolvere 20 diversi problemi di sicurezza e 5 bug minori che affliggono tutte le versioni di Magento 1 e Magento 2.

Conclusione

Scegliere la piattaforma Magento per lo sviluppo e soprattutto la gestione professionale di un sito e-commerce resta ancora oggi la chiave del successo per molte imprese.
Grazie alla sua notevole facilità d’uso, velocità e possibilità di personalizzazione, questo CMS è in grado di offrire un’esperienza ottimale di navigazione all’utente.
Ovviamente, come tutte le piattaforme, anche Magento può subire attacchi che possono minare la sicurezza dell’intero sito e mettere a dura prova il corretto funzionamento dello stesso.
Per questo motivo non possiamo che consigliarvi di analizzare al più presto le vostre installazioni Magento per verificare se le falle di sicurezza risolte dalla patch SUPEE-7405 sono pertinenti, in modo da poter valutare con tempestività il metodo migliore per applicare le correzioni.