Magento, la conocida plataforma de comercio electrónico propiedad de eBay desde el año 2011 que se usa por innumerables tiendas online en todo el mundo, presenta una grave vulnerabilidad que podría provocar que los atacantes obtuviesen el control de las tiendas y de sus bases de datos completas; todo un peligro para hacer página web.
El fallo, que afectaría a alrededor de 200.000 sites por todo el mundo, ha sido desvelado por el Grupo de Investigación de Vulnerabilidades y Malware de Check Point Software Technologies Ltd., una reputada empresa proveedora mundial especializada en temas de seguridad.
Esta vulnerabilidad supone una amenaza significativa no solamente para una tienda, sino también para todas las marcas minoristas que usan hoy en día la plataforma Magento para sus negocios y tiendas online, lo cual significa alrededor de un 30% del mercado del comercio electrónico en el mundo. Además, hay que recordar que en los últimos años los sitios de comercio electrónico se han erigido en un objetivo para los cibercriminales toda vez que son sabedores que son una auténtica mina de oro para obtener todo tipo de información sobre las tarjetas de crédito.
El fallo, una vulnerabilidad de ejecución remota de código, posibilita a un atacante acabar con todos los mecanismos de seguridad y obtener el absoluto control de la tienda y su completa base de datos.
Magento Community Edition permite hacer una pagina web de venta electrónica modificando el código y sumando varias características y funcionalidades al instalar extensiones del marketplace Magento Connect.
Check Point ha divulgado estas vulnerabilidades de manera privada, junto con una completa lista de recomendaciones con el fin de corregirlas dirigida a la compañía eBay antes de su anuncio público. Un parche para acabar con las mismas ya fue lanzado el pasado 9 de febrero de 2015.
Por lo tanto, si se posee un negocio on line que usa Magento, se debe parchear de manera inmediata. De no poder actualizar por cualquier motivo, se recomienda se coloque el sitio web detrás de WAF (Firewall de aplicaciones web) o IPS. Otra solución es utilizar la opción de crear tiendas online de Urbecom, segura, económica y fiable.