Uma vulnerabilidade crítica na plataforma de e-commerce Magento foi divulgada e permite a execução remota de códigos. Quando explorada, a vulnerabilidade permite que um atacante comprometa completamente qualquer loja online que esteja utilizando o Magento e o atacante poderá ter acesso a informações de cartão de crédito, dados de clientes e outras informações financeiras, como os dados pessoais dos clientes.
Essa vulnerabilidade foi descoberta no começo do ano pelo time de pesquisadores da CheckPoint e estava como privada até esta semana, quando a Checkpoint divulgou osdetalhes dessa vulnerabilidade em seu blog.
Em um trabalho conjunto entre as empresas, um patch (SUPEE-5344) foi liberado no início de Fevereiro, mas diversos sites de e-commerce continuam vulneráveis e com a liberação dos detalhes da vulnerabilidade, já existem ferramentas que estão explorando esta falha.
Você pode testar se a sua loja está vulnerável acessando o endereço https://shoplift.byte.nl/
Para corrigir o problema é necessário aplicar o patch SUPEE-5344 que está disponível para download no endereço abaixo. Além disso, a Magento recomenta que seja aplicado também o patch SUPEE-1533, esse também corrige uma vulnerabilidade que permite a execução de códigos remotos.
https://www.magentocommerce.com/products/downloads/magento/
Fonte: http://labs.siteblindado.com/2015/04/vulnerabilidade-critica-afeta.html