Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-01090

Опубликовано: 09 фев. 2021
Источник: fstec
CVSS3: 7.1
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость модуля пользовательского API программной платформы для разработки и управления онлайн магазинами Magento Commerce связана с недостатками механизма авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Вендор

Adobe Systems Inc.

Наименование ПО

Magento Commerce
Magento Open Source

Версия ПО

до 2.3.6-p1 (Magento Commerce)
до 2.4.1-p1 (Magento Commerce)
до 2.4.2 (Magento Commerce)
до 2.3.6-p1 (Magento Open Source)
до 2.4.1-p1 (Magento Open Source)
до 2.4.2 (Magento Open Source)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Microsoft Corp Windows -
Apple Inc. MacOS -

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://helpx.adobe.com/security/products/magento/apsb21-08.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 70%
0.00645
Низкий

7.1 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2021-21013

CVSS3: 8.1
nvd
около 5 лет назад

Magento versions 2.4.1 (and earlier), 2.4.0-p1 (and earlier) and 2.3.6 (and earlier) are vulnerable to an insecure direct object vulnerability (IDOR) in the customer API module. Successful exploitation could lead to sensitive information disclosure and update arbitrary information on another user's account.

github логотип

GHSA-5ffv-cqpm-6p2j

CVSS3: 8.1
github
больше 3 лет назад

Adobe Bridge version 11.0 (and earlier) is affected by an out-of-bounds write vulnerability when parsing TTF files that could result in arbitrary code execution in the context of the current user. Exploitation of this issue requires user interaction in that a victim must open a malicious file.

fstec логотип

BDU:2021-00580

CVSS3: 8.8
fstec
около 5 лет назад

Уязвимость файлового менеджера Adobe Bridge, связанная с записью за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 70%
0.00645
Низкий

7.1 High

CVSS3

8.5 High

CVSS2