Vulnerabilidades de Adobe Commerce Recommendations para PHP

El 3 de septiembre, el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) emitió una alerta relacionada con múltiples vulnerabilidades que podrían permitir la ejecución de código arbitrario y una recomendación de que todos los sitios que utilicen PHP deben actualizar lo antes posible a la última versión de PHP (la alerta completa está disponible aquí).

WARNING
En Adobe Commerce sobre la infraestructura en la nube, tenga en cuenta que las actualizaciones de servicios no se pueden insertar en el entorno de producción sin un aviso de 48 horas laborables a nuestro equipo de infraestructura. Esto es necesario, ya que tenemos que asegurarnos de tener un ingeniero de asistencia técnica de infraestructura disponible para actualizar la configuración dentro de un periodo de tiempo deseado con un tiempo de inactividad mínimo en el entorno de producción. Así que 48 horas antes de cuando sus cambios deben estar en producción enviar un ticket de asistencia detallando la actualización de servicio necesaria e indicando la hora en la que desea que se inicie el proceso de actualización.

Siga leyendo para ver los impactos y los pasos de los sitios de Adobe Commerce:

Adobe Commerce alojado en nuestro producto Cloud

Si utiliza Adobe Commerce en una infraestructura en la nube, trabaje con su equipo tecnológico para volver a implementar Adobe Commerce a partir de cualquier momento* para aprovechar la actualización. Recomendamos que los comerciantes completen esta reimplementación antes del 30 de septiembre para evitar problemas de cumplimiento de PCI que puedan entrar en vigor como resultado de estas vulnerabilidades a finales de mes.

Notas adicionales sobre la reimplementación del sitio en la nube para esta actualización:

  • Si su sitio sigue usando la versión 7.0 de PHP, primero deberá actualizar a una versión compatible de PHP antes de volver a implementarlo para aprovechar estas actualizaciones de seguridad.
  • Para 2.1.x/2.2.x, se puede encontrar más información sobre la actualización de PHP aquí.

* Las versiones anteriores de este artículo y nuestros mensajes comenzaron el 19 de septiembre, pero nuestros equipos han terminado su trabajo antes de lo previsto.

Adobe Commerce en todas las demás soluciones de alojamiento

Dado que Adobe Commerce se basa en PHP, recomendamos que todos los comerciantes que utilicen Adobe Commerce revisen las actualizaciones necesarias para PHP con su proveedor de alojamiento. También recomendamos que los comerciantes completen esta revisión y cualquier actualización antes del 30 de septiembre para evitar problemas de cumplimiento de PCI que puedan entrar en vigor como resultado de estas vulnerabilidades a finales de mes.

Tenga en cuenta algunos detalles adicionales para Adobe Commerce en otras soluciones de alojamiento:

  • Las versiones 2.0 o 1.x de Adobe Commerce que usan versiones de PHP anteriores a la 7.1 o superiores no tienen parches oficiales de PHP disponibles. La ruta recomendada es actualizar PHP a una versión compatible de PHP.

Según la alerta, los parches recomendados para esta vulnerabilidad incluyen:

Si desea obtener más información sobre PHP y las versiones recientes, puede visitar Sitio de PHP. Y si tiene alguna pregunta o desea obtener más información sobre las prácticas recomendadas de seguridad, consulte nuestra Guía de prácticas recomendadas de seguridad.

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a