Saiu no dia 14/09/2017 no blog da Magento um post informando a todos de um novo update de segurança para o Magento Enterprise (EE) e Community (CE), respectivamente o Magento 2.0.16 e 2.1.9.

Esta nova atualização traz novas formas de prevenir a falsificação de solicitação de cross-site (CSRF).

O Cross-site é uma vulnerabilidade que permite ao atacante obter informações e redirecionar contatos para páginas perigosas por meio de injeções de códigos maliciosos na programação do site.

O update teve foco em evitar formas para que ocorram o vazamento de dados não autorizados e as vulnerabilidades de execução de código remoto autônomo do administrador.

Por isso é muito importante para a segurança da sua loja Magento que ela esteja devidamente atualizada.

Muito cuidado se você não costuma atualizar sua loja virtual. Se a versão desatualizada da sua plataforma tiver alguma vulnerabilidade ela se torna um alvo fácil para invasores.

Continue lendo para saber todas as melhorias dessas atualizações de segurança, além de onde e como atualizar sua plataforma.

Onde baixar as atualizações de segurança?

As atualizações de segurança do Magento podem ser adquiridas de três formas diferentes, veja abaixo:

Portal de Parceiros da plataforma

Magento Commerce 2.1.9: Acesse o Portal de Parceiros > Downloads > Magento Commerce 2.X > Magento Commerce 2.x Release > Versão 2.1.9;

Magento Commerce 2.0.16: Acesse o Portal de Parceiros > Downloads > Magento Commerce 2.X > Magento Commerce 2.x Release > Versão 2.0.16;

Magento Commerce 2.1.9 e 2.0.16: Nova instalação para integrações;

Magento Commerce 2.1.9 e 2.0.16: Para aplicativo Magento e Componentes;

Magento Commerce (Minha Conta)

Magento Commerce 2.1.9: Acesse o Minha Conta > Downloads > Magento Commerce 2.X > Magento Commerce 2.x Release > Versão 2.1.9;

Magento Commerce 2.0.16: Acesse o Minha Conta > Downloads > Magento Commerce 2.X > Magento Commerce 2.x Release > Versão 2.0.16;

Magento Open Source

Para baixar o Magento Open Source 2.1.9 e 2.0.16, acesse: https://magento.com/tech-resources/download;

O que foi corrigido no Update de segurança?

Como disse anteriormente, esse update tem foco em corrigir vulnerabilidades de Cross-Site e outras formas de desviar informações.

Ainda não foi detectado algum ataque relacionado às vulnerabilidades que listei abaixo, confira as APPSEC’s que foram corrígidas:

APPSEC-1800

Nível de Ameaça: Crítica;

Tipo: Execução Remota de Código (ERC);

Descrição: Um administrador Magento com privilégios limitados pode introduzir códigos maliciosos ao criar uma nova Página CMS, o que pode resultar em execução de código remoto arbitrário;

Produtos Afetados: Versões inferiores ao Magento 1.9.3.6, 1.14.3.6, Magento 2.0 inferiores a 2.0.16 e Magento 2.1 antes do 2.1.9;

Produtos Corrigidos: 1.9.3.6, 1.14.3.6, SUPEE-10266, 2.0.16 e 2.1.9.

APPSEC-1887

Nível de Ameaça: Alto;

Tipo: Vazamento de informação;

Descrição: Um administrador do Magento com privilégios limitados pode explorar uma vulnerabilidade na função de criação do tema para divulgar e excluir arbitrariamente arquivos do sistema de uma instalação Magento;

Produtos Afetados: Versões inferiores a 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1850

Nível de Ameaça: Alto;

Tipo: Abuso de funcionalidades;

Descrição: Um administrador Magento com privilégios limitados pode usar o módulo Excluir Arquivos para carregar e excluir arquivos;

Produtos Afetados: Versões inferiores a 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1851

Nível de Ameaça: Alto;

Tipo: Execução de Código Remoto (ECR);

Descrição: Um administrador Magento com privilégios limitados pode explorar uma vulnerabilidade nos testes funcionais da Magento e obter a execução de código remoto completo no sistema;

Produtos Afetados: Versões inferiores a 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1567

Nível de Ameaça: Médio;

Tipo: Desvio de informação (ordem);

Descrição: Se um invasor anônimo receber informações de ordem genérica, ele pode gerar uma colisão de cookies e obter informações de pedidos;

Produtos Afetados: Versões inferiores a 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1769

Nível de Ameaça: Médio;

Tipo: Abuso de funcionalidade;

Descrição: Um administrador do Magento com privilégios limitados pode usar a ferramenta de geração do sitemap para substituir arquivos sensíveis;

Produtos Afetados: Versões inferiores a 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1713

Nível de Ameaça: Médio;

Tipo: Vazamento de informação (sistema);

Descrição: Vários URLs do site Magento vazam informações confidenciais que podem incluir mensagens de erro detalhadas e localização do controlador. Os atacantes podem usar essas informações para explorar outras vulnerabilidades;

Produtos Afetados: Versões inferiores a 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1852

Nível de Ameaça: Médio;

Tipo: CSRF e XSS (armazenamento);

Descrição: Um administrador Magento com privilégios limitados pode explorar uma vulnerabilidade no grupo de clientes para criar um URL que pode ser usado como parte do ataque CSRF;

Produtos Afetados: Versões inferiores ao Magento 1.9.3.6, 1.14.3.6, 2.0.16 e 2.1.9;

Produtos Corrigidos: 1.9.3.6, 1.14.3.6, SUPEE-10266, 2.0.16 e 2.1.9.

APPSEC-1482

Nível de Ameaça: Médio;

Tipo: Redirecionamento não validado;

Descrição: Um invasor pode adicionar uma URL a um site Magento, redirecionando usuários para um site de phishing externo;

Produtos Afetados: Versões inferiores a 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1502

Nível de Ameaça: Médio;

Tipo: Cross-Site Scripting (XSS, armazenamento);

Descrição: Um administrador Magento pode injetar código em atributos de produtos personalizados;

Produtos Afetados: Versões inferiores a 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1494

Nível de Ameaça: Médio;

Tipo: Cross-Site Scripting (XSS, armazenamento);

Descrição: Um invasor com a capacidade de lançar um ataque do Man-in-the-middle em uma conexão de rede poderia injetar código no feed RSS do Magento Admin;

Produtos Afetados: Versões inferiores ao Magento 1.9.3.6, 1.14.3.6, 2.0.16 e 2.1.9;

Produtos Corrigidos: 1.9.3.6, 1.14.3.6, SUPEE-10266, 2.0.16 e 2.1.9.

APPSEC-1793

Nível de Ameaça: Médio;

Tipo: Execução de Código Remoto (ECR);

Descrição: A instalação não Apache (por exemplo, Nginx) pode ter carregamentos de scripts executáveis que podem ser usados para exploração posterior;

Produtos Afetados: Versões inferiores ao Magento 1.9.3.6, 1.14.3.6, 2.0.16 e 2.1.9;

Produtos Corrigidos: 1.9.3.6, 1.14.3.6, SUPEE-10266, 2.0.16 e 2.1.9.

APPSEC-1819

Nível de Ameaça: Médio;

Tipo: Sessão insuficiente;

Descrição: O Magento não configura corretamente as sessões simultâneas expiradas. Sua conta pode continuar ativa, mesmo que sua sessão tenha expirado, isso permite a um invasor acessar a sua conta;

Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1802

Nível de Ameaça: Médio;

Tipo: Cross-Site Request Forgery (CSRF);

Descrição: Foi adicionado a proteção CSRF ao processo de registro do cliente para evitar que os invasores assumam as contas;

Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1493

Nível de Ameaça: Médio;

Tipo: Cross-Site Scripting (XSS, armazenamento);

Descrição: Um administrador Magento pode injetar scripts executáveis em áreas não executáveis, como o título da página;

Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1755

Nível de Ameaça: Médio;

Tipo: Cross-Site Request Forgery (CSRF);

Descrição: Os tokens anti-CSRF não mudam adequadamente após um login bem-sucedido;

Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1853

Nível de Ameaça: Médio;

Tipo: CSRF, XSS (armazenamento);

Descrição: Um administrador Magento com privilégios limitados pode explorar uma vulnerabilidade pela Newsletter para criar uma URL que pode ser usada como parte de um ataque CSRF;

Produtos Afetados: Versões inferiores ao Magento 1.9.3.6, 1.14.3.6, 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1729

Nível de Ameaça: Médio;

Tipo: Cross-Site Scripting (XSS);

Descrição: Um administrador pode injetar código em registros de pedidos de vendas, o que pode resultar em um ataque XSS em qualquer pessoa que veja a página;

Produtos Afetados: Versões inferiores ao Magento 1.9.3.6, 1.14.3.6, 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1775

Nível de Ameaça: Médio;

Tipo: Cross-Site Scripting (XSS);

Descrição: Um administrador Magento com privilégios limitados pode inserir códigos maliciosos em templates de e-mail;

Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1591

Nível de Ameaça: Médio;

Tipo: Cross-Site Scripting (XSS, armazenamento);

Descrição: Um administrador Magento com privilégios limitados pode adicionar novos produtos que podem conter um script malicioso pela miniatura do produto;

Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1896

Nível de Ameaça: Médio;

Tipo: Cross-Site Scripting (XSS, armazenamento);

Descrição: Um administrador do Magento com privilégios limitados pode inserir o código executável na visualização de pedido através do código;

Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1673

Nível de Ameaça: Médio;

Tipo: Cross-Site Scripting (XSS, armazenamento);

Descrição: Um administrador Magento com privilégios limitados pode adicionar novas imagens SVG que contenham código malicioso;

Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1773

Nível de Ameaça: Médio;

Tipo: Negação de Serviço (DoS);

Descrição: Um administrador Magento com privilégios limitados pode modificar o contador de páginas ao criar uma nova página. Isso pode causar um excesso de número inteiro, o que pode impedir a criação de novas páginas;

Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1577

Nível de Ameaça: Médio;

Tipo: Cross-Site Scripting (XSS, armazenamento);

Descrição: Um administrador Magento pode injetar código na ativação de integração;

Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1510

Nível de Ameaça: Médio;

Tipo: Referência de objeto direta insegura;

Descrição: Um administrador Magento com privilégios limitados pode atualizar a imagem Favicon para todo o site;

Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1545

Nível de Ameaça: Médio;

Tipo: Cross-Site Scripting (XSS, armazenamento);

Descrição: Um administrador Magento pode injetar código de script em campos de clientes, o que pode resultar em um ataque XSS;

Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1535

Nível de Ameaça: Médio;

Tipo: Referência de objeto direta insegura;

Descrição: O Magento não verifica corretamente as listas de controle de acesso na grade de edições rápidas;

Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1588

Nível de Ameaça: Médio;

Tipo: Desvio de informação (ordem);

Descrição: Um invasor pode criar uma solicitação de URL em um site da Magento durante o check-out e recuperar informações sobre pedidos passados;

Produtos Afetados: Versões inferiores ao Magento 1.9.3.6, 1.14.3.6, 2.0.16 e 2.1.9;

Produtos Corrigidos: 1.9.3.6, 1.14.3.6, SUPEE-10266, 2.0.16 e 2.1.9.

APPSEC-1701

Nível de Ameaça: Médio;

Tipo: Sessão insuficiente;

Descrição: Os tokens de cliente e de administração não expiram corretamente, o que permite a reutilização potencial de um cookie por um invasor;

Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1630

Nível de Ameaça: Médio;

Tipo: Vazamento de informação (sistema);

Descrição: Um usuário anônimo pode visitar um URL interno e ver o status de uma atualização do Magento;

Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1628

Nível de Ameaça: Médio;

Tipo: Vazamento de informação (sistema);

Descrição: As respostas de e-mail do Magento aos pedidos de produtos expõem o caminho do sistema da instalação do Magento. Os atacantes podem aproveitar o caminho do sistema para permitir o uso de outras vulnerabilidades;

Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1599

Nível de Ameaça: Médio;

Tipo: Vazamento de informação (sistema);

Descrição: Vários campos no painel de administração não funcionam corretamente com preenchimento automático, o que pode resultar em um possível vazamento de informações quando um navegador tenta preencher automaticamente o campo;

Produtos Afetados: Versões inferiores ao Magento 1.9.3.6, 1.14.3.6, 2.0.16 e 2.1.9;

Produtos Corrigidos: 1.9.3.6, 1.14.3.6, SUPEE-10266, 2.0.16 e 2.1.9.

APPSEC-1709

Nível de Ameaça: Baixo;

Tipo: Vazamento de informação (sistema);

Descrição: O mecanismo de bloqueio de conta vazou o e-mail de contato do site Magento;

Produtos Afetados: Versões anteriores ao Magento 2.0.16 e 2.1.9;

Produtos Corrigidos: 2.0.16 e 2.1.9.

APPSEC-1495

Nível de Ameaça: Baixo;

Tipo: Referência de objeto direto insegura;

Descrição: Qualquer usuário pode interagir com a função de ordem do cliente apesar de não ser autorizado;

Produtos Afetados: Versões inferiores ao Magento 1.9.3.6, 1.14.3.6, 2.0.16 e 2.1.9;

Produtos Corrigidos: 1.9.3.6, 1.14.3.6, SUPEE-10266, 2.0.16 e 2.1.9.

Melhor previnir, do que remediar…

Para você que é varejista pode ser um pouco complicado para atualizar sua loja virtual Magento e evitar que sua loja, seus clientes e você sofram por conta de alguns desses ataques.

Se se sentir em apuros, converse com seu desenvolvedor de confiança e ajude a trazer mais segurança para o seu negócio.

Para finalizar! Deixarei abaixo alguns links para você conhecer outras formas de tornar sua loja mais segura e confiável:

Espero ter ajudado e se tiver dúvidas, deixe nos comentários!

Se você gostou deste conteúdo peço que ajude mais pessoas a encontrarem esse post, compartilhe com seus amigos.

Abraço.

Fonte: Magento Tech Resources