O Magento está lançando as seguintes atualizações (SUPEE-10415) para aumentar a segurança do Magento Open Source:
- Magento Open Source 1.9.3.7 (versão Community)
- SUPEE-10415 (atualização para as versões mais recentes do Magento 1.x)
Esta versão contém múltiplas mudanças de segurança que removem vulnerabilidades de execução remota de código “CSRF” utilizando um usuário administrativo.
Recomendamos que todos os comerciantes atualizem para a nova versão assim que possível.
SUPEE-10415, Magento Commerce 1.14.3.7 e o Open Source 1.9.3.7 contêm múltiplos aprimoramentos de segurança que removem vulnerabilidades que permitem a execução remota de código utilizando usuários administrativos. Esses lançamentos também incluem uma correção para clientes anteriores que tiveram problemas de patches causados pelas interações SOAP v1 no WSDL.
Você pode estar baixando a ultima versão do Magento 1.9.x pelo Site Oficial, acessando: https://magento.com/tech-resources/download
Os patches e atualizações estão disponíveis para as seguintes versões Magento:
- Magento Commerce 1.9.0.0-1.14.3.7: SUPEE-10415 ou atualize para versão do Magento Commerce 1.14.3.7.
- Magento Open Source 1.5.0.0-1.9.3.7: SUPEE-10415 ou atualize para versão do Magento Open Source 1.9.3.7.
Problemas de segurança que foram encontrados
APPSEC-1330: Unsanitized input leading to denial of service
Um visitante do site pode criar uma conta onde um dos parâmetros criará uma negação de serviço no servidor.
APPSEC-1885: Stored XSS in Product Descriptions
Um administrador com privilégios limitados pode inserir script no produto e descrições curtas, resultando potencialmente em um script de site cruzado armazenado que afeta os usuários do site.
APPSEC-1892: Stored XSS in Visual Merchandiser
Um administrador com privilégios limitados pode criar um ataque de script do site armazenado no sistema Visual Merchaniser.
APPSEC-1894: Remote Code Execution by leveraging unsafe unserialization
Um administrador com privilégios limitados pode inserir código injetável em campos promocionais, criando uma oportunidade para a execução de código remoto arbitrário.
Para saber como baixar os patches e o obter acesso a lista detalhadas das correções acesse: https://magento.com/security/patches/supee-10415