cancel
Showing results for 
Search instead for 
Did you mean: 

Patch de Segurança SUPEE-5994 (Pacote de Correção de 7 Vulnerabilidades)

Patch de Segurança SUPEE-5994 (Pacote de Correção de 7 Vulnerabilidades)

Olá pessoal, 

Apenas para deixar registrado e divulgar, que no dia de hoje 15/05/2015 foi liberado mais um patch para corrigir 7 falhas de seguraça, descobertas e corrigidas com o SUPEE-5994. Essas vulnerabilidades estão presentes em todas as versões (1.4.x / 1.9.x) e afetam tanto a vesão Community como a Enterprise.

 

 

A seguir, as 7 vulnerabilidades corrigidas pelo SUPEE-5994 

(tradução livre das informações liberadas em http://merch.docs.magento.com/ce/user_guide/Magento_Community_Edition_User_Guide.html#magento/patch-... )

 

- Descoberta do endereço do painel de administração

 Possibilita a exibição do  acesso administrativo por meio de um módulo, independente da URL. Permitindo a descoberta da URL do painel administrativo e facilitar o ínicio de um ataque para a descoberta da senha.

 

- Vazamento de endereço através do checkout

Possibilita a obtenção das informações do endereço (nome, endereço, telefone) dos endereços salvos de outros clientes da loja.

 

- Vazamento de informações do cliente por meio do perfil recorrente

Esta falha possibilita a obtenção do endereço (nome, endereço, telefone), pedidos anteriores (itens, quantidades) e forma de pagamento a partir do perfil de recorrência de outros clientes da loja.

 

- Descoberta da localização dos caminhos do servidor (server paths) por meio de Media Cache

Permite que sejam usadas URLs de imagens falsas, para gerar exceções que expõe os caminhos do servidor (Server Paths) independente das configurações.

 

- Injeção de Formulas de Planilha

Permite que sejam inseridas formulas em planilhas exportadas e abertas por exemplo no Microsoft Excel. A formula pode modificar dados, exportar dados pessoal para outro site, ou causar execução de código remoto. A planilha geralmente exibe uma notificação de segurança que o usuário deve ignorar para o ataque ser sucedido.

 

- XSS usando o módulo Athorize.net

Permite a execução de JavaScript no contexto da sessão de um cliente. Se um cliente clica no link malicioso, podem ser roubadas cookies e sequestrar a sessão o que pode expor dados pessoais e comprometer o checkout

 

- Pacote malicioso pode sobrescrever arquivos do sistema.

Quando um pacote malicioso for instalado pelo cliente, pode sobrescrever arquivos no servidor. Primeiramente o pacote deve ser publicado e instalado pelo cliente. O pacote também pode possuir uma carga (de dados) maliciosa.

 

É isso pessoal, como sempre, esse e outros patchs estão disponíveis em:

https://www.magentocommerce.com/products/downloads/magento/

 

 

Nestor González | Desenvolvimento e Suporte Magento
www.nestorgonzalez.com.br
1 REPLY

Re: Patch de Segurança SUPEE-5994 (Pacote de Correção de 7 Vulnerabilidades)

Boa tarde. 

Sou novo aqui na comunidade e como usuário do Magento.

 

Poderia, por gentilza, me auxiliar na instalação dos Patches de segurança?

 

Muito obrigado.

Euder Alves

euder.ep@gmail.com