Sábado, 24 Agosto 2013 19:05

Liberado VirtueMart 2.0.22b - Corrección de Seguridad

Escrito por 
CMS:  Joomla! |  Versión:  Todas |  Nivel de dificultad:  Básico |  Tiempo estimado de lectura:  5 minutos


VirtueMart 2.0.22bHa sido liberada la versión de VirtueMart 2.0.22b como versión de seguridad que corrige una vulnerabilidad de inyección SQL, por lo que se recomienda actualizarse a esta versión estable del carrito de compras más popular de Joomla 2.5.x y 3.1.x

La vulnerabilidad se encuentra en la tarea del controlador de "usuario", "removeAddressST". El parámetro "virtuemart_userinfo_id" no es verificado apropiadamente antes de ser utilizado en la consulta "DELETE" realizada en el mismo, permitiendo la ejecución de consultas SQL arbitrarias.

Para aprovechar esta vulnerabilidad, un atacante debe estar autenticado como un cliente en la aplicación. Sin embargo, ya que el sistema permite el libre registro de la cuenta, esto no es un problema.

Todas las versiones entre la versión 2.0.8 y 2.0.22a son vulnerables y deben actualizarse.

Gracias a Matias Fontanini y otro usuario que observaron varios fallos de seguridad en VirtueMart 2.

La versión 2.0.22b contiene correcciones para estos fallos de seguridad.

A raíz de una reciente vulnerabilidad del servicio de Paypal, el plugin de Paypal para VirtueMart, que utiliza el protocolo HTTP 1.0 para la notificación de IPN, ahora requiere el protocolo HTTP 1.1. Todo usuario o comerciante que haga uso una versión anterior a VirtueMart 2.0.22a VM debe o actualizar VirtueMart a la versión 2.0.22b o el plugin de Paypal para seguir teniendo las notificaciones IPN. Hay una nueva versión del plugin de Paypal para cada versión de VirtueMart.

Este plugin esta disponible en el sitio web de desarrollo del proyecto VirtueMart, bajo el nombre plgvm_virtuemart_paypal_vm{version number}_1.4.zip


Ver y valorar VirtueMart 2.0.22b en el Joomla! Extensions Directory (pendiente de actualizar por parte del JED).

Descargar VirtueMart 2.0.22b desde la página web del proyecto oficial.


Tabla de Versiones estables de la rama 2.0 de VirtueMart

Nombre Versión Estado Descripción Fecha Liberación Descarga
VirtueMart 2.0.22bEstableEsta es una versión de mantenimiento.2013-08-22Descarga
Lista de cambios
VirtueMart 2.0.22EstableEsta es una versión de mantenimiento.2013-03-02Descarga
Lista de cambios
VirtueMart 2.0.20EstableEsta es una versión de mantenimiento.2013-03-17Descarga
./.
VirtueMart 2.0.18EstableEsta es una versión de mantenimiento.2013-03-02Descarga
Lista de cambios
VirtueMart 2.0.16EstableEsta es una versión de mantenimiento.2012-11-13Descarga
Lista de cambios
VirtueMart 2.0.14EstableEsta es una versión de mantenimiento.2012-12-20Descarga
Lista de cambios
VirtueMart 2.0.12EstableEsta es una versión de mantenimiento.2012-10-04Descarga
./.
VirtueMart 2.0.10EstableEsta es una versión de mantenimiento.2012-08-22Descarga
Lista de cambios
VirtueMart 2.0.8EstableEsta es una versión de mantenimiento.2012-06-29Descarga
Lista de cambios
VirtueMart 2.0.6Estable2012-04-16Descarga
Lista de cambios
VirtueMart 2.0.4Estable2.0.42012-04-12Descarga
Lista de cambios
VirtueMart 2.0.2EstableVirtueMart 2.0.22012-02-25Descarga
Lista de cambios
VirtueMart 2.0.0EstableEsta es la primera versión de VirtueMart 2.0. No actualizar sin hacer primero una copia de seguridad. NO ACTUALIZAR EN UN SITIO EN PRODUCCIÓN. Por favor, lea esto primero http://forum.virtuemart.net/index.php?topic=95236.0


En el siguiente video ilustramos como podemos actualizar manualmente VirtueMart desde una versión anterior a una versión estable.



El equipo de VirtueMart aprovecha para informar que en colaboración con Stratus5, se libera VirtueMart2Go, una solución de comercio electrónico basada en la nube que ahora está disponible para clientes de Stratus5 como un producto listo para usar.

VirtueMart2Go combina el sistema líder de gestión de contenidos, Joomla y VirtueMart eCommerce como un cliente preinstalado en la nube.



¿Te ha resultado interesante este artículo?

Suscríbete para recibir consejos exclusivos para WordPress, Joomla y PrestaShop



Luis Méndez Alejo

Miembro del equipo técnico de Webempresa.
Coordinador de contenidos en el Blog y en Youtube.
Google+