Advertencias de seguridad

Resumen

Durante la investigación de la notificación de un cliente, Fastly detectó una vulnerabilidad de seguridad (CVE-2017-13761) en el módulo de CDN de Fastly destinado a integrarse en Magento2 y la abordó. Se trata de código abierto que Fastly publica para facilitar la integración con los productos de nuestro partner. Afecta a todas las versiones anteriores a la 1.2.26 y se recomienda a nuestros clientes que actualicen sus sistemas.

Fastly se ha puesto en contacto directo con los clientes que actualmente utilizan las versiones del módulo afectadas.

Impacto

Esta vulnerabilidad, presente en todas las versiones del módulo anteriores a la 1.2.26, provocó que las respuestas de redireccionamiento quedaran almacenadas en caché durante unos segundos. Podría filtrarse la sesión en ciertos casos cuando se utiliza un complemento de autenticación de terceros, como OAuth, que se base en redireccionamientos en lugar de peticiones POST.
En consecuencia, la vulnerabilidad podría dar lugar a que información proveniente de una sesión autenticada se filtrara a otro usuario autenticado.

Soluciones provisionales y permanentes

Esta vulnerabilidad se abordó en la versión 1.2.26 del módulo de CDN de Fastly. Se recomienda a los clientes que hayan descargado y desplegado cualquier versión anterior del módulo que lo actualicen a la versión 1.2.26 o posterior. La última versión disponible, y la recomendada, es la 1.2.28.

Puedes ejecutar el siguiente comando para determinar si tu sitio está afectado:

$ curl -H “Fastly-Debug:1” -v -o /dev/null https://www.example.com/ | grep Fastly-Magento-VCL

< Fastly-Magento-VCL-Uploaded: 1.2.20

Más información

A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2017-13761.

Este problema se abordó en el repositorio de código fastly-magento2, y la última versión está disponible en https://github.com/fastly/fastly-magento2/releases.