Importante – Vulnerabilidades de seguridad en WordPress y Magento
WordPress Vulnerability
This is a new, serious vulnerability, announced recently which has the potential to cause some damage and disruption. Current versions of WordPress are vulnerable to a stored XSS. An unauthenticated attacker can inject JavaScript in WordPress comments. The script is triggered when the comment is viewed. Impact: If triggered by a logged-in administrator, under default settings the attacker can leverage the vulnerability to execute arbitrary code on the server via the plugin and theme editors.
Alternatively the attacker could change the administrator’s password, create new administrator accounts, or do whatever else the currently logged-in administrator can do on the target system. You can find more details about the impact and solution for the same by clicking here.
Steps you need to take: We would request you to go through the recommendations and update your WordPress website using the patch available here.
Magento Vulnerability
This is a vulnerability that has been recently reported too. The vulnerability is actually comprised of a chain of several vulnerabilities that ultimately allow an unauthenticated attacker to execute PHP code on the web server. Impact: The attacker can bypass all security mechanisms and gains control of the store and its complete database, allowing credit card theft or any other administrative access into the system. This attack is not limited to any particular plugin or theme. All the vulnerabilities are present in the Magento core, and affects any default installation of both Community and Enterprise Editions. For more details about the same, please click here.
Steps you need to take: If you are using the mentioned vulnerable versions of Magento, we
would request you to patch it using the updates provided in the following link : http://blog.checkpoint.com/
You can test whether your Magento website is vulnerability or not, using this tool.
We strongly recommend you access all your packages and patch them immediately to avoid any issues. In case you require any information regarding this email, please feel free to get in touch with us.
[tabs class=»yourcustomclass»]
[tab title=»Leer en español – Vulnerabilidad WordPress»]Esta es una nueva, grave vulnerabilidad, anunció recientemente que tiene el potencial de causar algún daño y perturbación. Las versiones actuales de WordPress son vulnerables a un XSS almacenado. Un atacante no autenticado puede inyectar JavaScript en los comentarios de WordPress. El script se activa cuando el comentario es visto. Impacto: Si desencadenado por un administrador ha iniciado sesión en, en la configuración por defecto el atacante puede aprovechar la vulnerabilidad para ejecutar código arbitrario en el servidor a través de los editores de plugins y temas.
Alternativamente, el atacante podría cambiar la contraseña del administrador, crear nuevas cuentas de administrador, o hacer cualquier otra cosa que el administrador ha iniciado sesión actualmente en puede hacer en el sistema de destino. Puede encontrar más detalles sobre el impacto y la solución para el mismo haciendo clic aquí.
Los pasos que deben tomar: Queremos pedirle que vaya a través de las recomendaciones y actualizar su sitio web WordPress usando el parche disponible aquí.[/tab]
[tab title=»Magento»]Se trata de una vulnerabilidad que se ha informado recientemente también. La vulnerabilidad es en realidad compuesto de una cadena de varias vulnerabilidades que en última instancia permite a un atacante no autenticado ejecutar código PHP en el servidor web. Impacto: El atacante puede pasar por alto todos los mecanismos de seguridad y control de las ganancias de la tienda y su base de datos completa, lo que permite el robo de tarjetas de crédito o cualquier otro acceso administrativo al sistema. Este ataque no se limita a ningún plugin o tema en particular. Todas las vulnerabilidades están presentes en el núcleo de Magento, y afecta a cualquier instalación por defecto de ambos comunitarias y Enterprise Editions. Para más detalles sobre el mismo, por favor haga clic aquí.
Pasos que debe tomar: Si está utilizando las versiones vulnerables mencionadas de Magento, que
pediría que parchear usando las actualizaciones previstas en el siguiente enlace: http://blog.checkpoint.com/2015/04/20/analyzing-magento-vulnerability/.
Usted puede probar si su sitio web Magento es la vulnerabilidad o no, el uso de esta herramienta.
Le recomendamos que acceda a todos sus paquetes y el parche de inmediato para evitar cualquier problema. En caso de requerir cualquier información relacionada con este correo electrónico, por favor no dude en ponerse en contacto con nosotros[/tab][/tabs]