Adobe ha publicado actualizaciones de seguridad tanto para Adobe Commerce como para Magento Open Source. En su  Security Bulletin explicaron que se había detectado una vulnerabilidad “crítica”. En caso de ser explotada con éxito, podría llevar a la ejecución de código arbitrario.

Es importante para los negocios que usan estas plataformas el instalar los parches lo antes posible, para evitar que se produzcan estas situaciones. 

Siguiendo las recomendaciones de Adobe, así como nuestras pautas y procesos internos, esto es lo que hacemos para garantizar la seguridad online de nuestros clientes.

Los parches de Adobe Commerce y Magento Open Source

En primer lugar, se deben aplicar dos patches para Adobe y Magento: primero el parche MDVA-43395 y luego el MDVA-43443. 

Las siguientes versiones han sido afectadas y contienen la vulnerabilidad mencionada anteriormente:

Adobe Commerce

2.4.3-p1 y versiones anteriores (todas las plataformas)

2.3.7-p2 y versiones anteriores (todas las plataformas)

Magento Open Source

2.4.3-p1 y versiones anteriores (todas las plataformas)

2.3.7-p2 y versiones anteriores (todas las plataformas)

Es recomendable seguir los consejos de Adobe y actualizar la instalación.

En el caso de Adobe Commerce (todas las plataformas)

  • Para Adobe Commerce 2.4.3 – 2.4.3-p1:

Si usas composer y tienes el core de Magento dentro del directorio vendor, entonces debes implementar los patches MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip y MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip.

Por otro lado, si no usas composer y tienes el core de Magento en el directorio app/code, debes implementar los patches MDVA-43395_EE_2.4.3-p1_v1.patch.zip y MDVA-43443_EE_2.4.3-p1_v1.patch.zip.

  • Para Adobe Commerce 2.3.4-p2 – 2.4.2-p2: 

En caso de que uses composer y tengas el core de Magento dentro del directorio vendor, entonces debes implementar los patches MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip y MDVA-43443_EE_2.4.2-p2_COMPOSER_v1.patch.zip.

No obstante, si no usas composer y tienes el core de Magento en el directorio app/code, debes implementar los patches MDVA-43395_EE_2.4.3-p1_v1.patch.zip y MDVA-43443_EE_2.4.2-p2_v1.patch.zip.

  • Para Adobe Commerce 2.3.3-p1 – 2.3.4:

Si en estas versiones utilizas composer y tienes el core de Magento dentro del directorio vendor, entonces debes implementar los patches MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip y MDVA-43443_EE_2.3.4_COMPOSER_v1.patch.zip.

Sin embargo, si no usas composer y tienes el core de Magento en el directorio app/code, debes implementar los patches MDVA-43395_EE_2.4.3-p1_v1.patch.zip y MDVA-43443_EE_2.3.4_v1.patch.zip.

En el caso de Magento Open Source (todas las plataformas)

Adobe recomienda instalar los siguientes parches en el caso de Magento:

  • Para Magento Open Source 2.4.3 – 2.4.3-p1:

En lo referido a estas versiones de Magento, si usas composer y tienes el core de Magento dentro del directorio vendor, entonces debes implementar los patches MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip y MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip.

Por el contrario, si no usas composer y tienes el core de Magento en el directorio app/code, debes implementar los patches MDVA-43395_EE_2.4.3-p1_v1.patch.zip y MDVA-43443_EE_2.4.3-p1_v1.patch.zip.

  • Para Magento Open Source 2.3.4-p2 – 2.4.2-p2:

Si en tu caso utilizas composer y tienes el core de Magento dentro del directorio vendor, entonces debes implementar los patches MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip y MDVA-43443_EE_2.4.2-p2_COMPOSER_v1.patch.zip.

En cambio, si no usas composer y tienes el core de Magento en el directorio app/code, debes implementar los patches MDVA-43395_EE_2.4.3-p1_v1.patch.zip y MDVA-43443_EE_2.4.2-p2_v1.patch.zip.

  • Para Magento Open Source 2.3.3-p1 – 2.3.4:

En este caso, si usas composer y tienes el core de Magento dentro del directorio vendor, entonces debes implementar los patches MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip y MDVA-43443_EE_2.3.4_COMPOSER_v1.patch.zip.

Sea como sea, si no usas composer y tienes el core de Magento en el directorio app/code, debes implementar los patches MDVA-43395_EE_2.4.3-p1_v1.patch.zip y MDVA-43443_EE_2.3.4_v1.patch.zip.

En Interactiv4, aportamos esto mediante la incorporación de parches de seguridad dentro de los módulos de Interactiv4. De este modo, tenemos más control sobre la aplicación de cada parche de seguridad a todos nuestros clientes. 

Además, analizamos y adaptamos los parches de seguridad de Magento a las versiones de Magento que ya no son soportadas oficialmente.

Interactiv4 Parches

Por el momento, hemos aplicado completamente el parche a las versiones 2.3.6, 2.3.7, 2.4.2 y 2.4.3 de Magento Open Source. Además, el parche se aplicó parcialmente (no todo el parche era compatible) a las versiones 2.2.8 y 2.3.2 de Magento Open Source.

También se ha identificado recientemente que el último parche rompe los estilos de correo electrónico transaccional incrustados dentro de las plantillas. A pesar de esta situación, nuestra recomendación es aplicar el parche y garantizar la seguridad mientras se soluciona este problema.

Es crucial que se sigan estas recomendaciones para que tu negocio no se vea comprometido a causa de ataques externos.

Si necesitas nuestros servicios o tienes alguna consulta relacionada con la seguridad, ponte en contacto con nuestro equipo. Estaremos encantados de ayudarte.