Foi lançado uma atualização de segurança para o Magento 2.x (versão Community e Enterprise) e 1.x, contendo diversas melhorias e correções, sendo 15 relacionas a segurança.
Sendo fortemente recomendado que a atualização seja feita assim que possível.
Patch: SUPEE-9767 Security Patches
Lista com as Correções – Patch Segurança (Magento 2)
APPSEC-1686: Execução remota de código no painel administrativo
APPSEC-1626: RCE no upload de videos
APPSEC-1746: Zend Mail vulnerabilidade- nova correção
APPSEC-1565: Hash da senha do cliente exposta no painel administrativo
APPSEC-1559: Possível execução remota de código
APPSEC-1752: Script XSS salvo no painel administrativo
APPSEC-1699: API tokens não invalidados depois de desativado um usuário administrativo
APPSEC-1632: Senha exposta no log de ação (apenas versão Enterprise)
APPSEC-1663: Ações em massa não obedecem ACL
APPSEC-1661: UI controllers não obedecem ACL
APPSEC-1679: vulnerabilidades da APIs para CSRF
APPSEC-1610: Custom admin path disclosure
APPSEC-1666: Information leak
APPSEC-1659: Vulnerabilidades na biblioteca de JavaScript
Atualização de Segurança
Como você pode ver, a lista é grande.
Você pode baixar as atualizações acessando este link: https://magento.com/tech-resources/download
Post completo com detalhes sobre cada vulnerabilidade: https://magento.com/security/patches/magento-2014-and-217-security-update