Una vulnerabilidad en Magento permite crear un usuario administrador

Escrito por Adrián Crespo
Seguridad
0

El comercio electrónico se ha convertido en algo muy importante desde hace mucho tiempo. Sin embargo, por desgracia también se ha convertido en un blanco más o menos fácil para los ciberdelincuentes. Magento se trata de uno de los gestores de contenidos web para este tipo de servicios más importante, y donde se ha encontrado una vulnerabilidad importante.

Tal y como indicábamos con anterioridad, se trata de uno de los gestores para contenidos web más extendidos hoy en día y son muchas las tiendas en línea que lo utilizan. Una gran flexibilidad a la hora de realizar la implementación y un panel de control con muchas posibilidades han provocado que la herramienta se extienda por una gran cantidad de sitios web centrados en el comercio electrónico.

Sin embargo, la plataforma propiedad en la actualidad de eBay posee una vulnerabilidad importante, de la cual ya se ha informado a los  responsables de esta.

Escalada de permisos de administrador

La vulnerabilidad detectada permite que una tercera persona pueda crear una cuenta de administrador en la plataforma basándose en otra cuenta. Para poder realizar esto hay que modificar la URL con la que se accede al panel de control modificándola con datos de otra cuenta que se encuentre activa en el sistema.

De esta forma el atacante podría no solo evitar la acción del login, sino que tendría acceso total al panel control de Magento pudiendo modificar todo tipo de datos relacionados con la tienda en línea.

Para cuantificar un poco el problema en cuestión, se estima que cerca de 20.000 sitios web que se dedican al comercio electrónico podrían estar afectados por el problema de seguridad.

eBay ya se ha puesto manos a la obra

La propietaria de la plataforma desde el año 2011 ya ha sido informada de la vulnerabilidad detectada y ha anunciado que pronto se publicará una revisión que solucione la vulnerabilidad detectada.

Fuente | The Hacker News