BDU:2022-06057

Опубликовано: 09 авг. 2022

Источник: fstec

CVSS3: 9.1

CVSS2: 9

EPSS Средний

Описание

Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce связана с ошибками в обработке XML-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданных XML-данных

Вендор

Adobe Systems Inc.

Наименование ПО

Magento Open Source

Adobe Commerce

Версия ПО

до 2.3.4-p2 (Magento Open Source)

до 2.3.7-p3 включительно (Adobe Commerce)

2.4.4 (Adobe Commerce)

2.4.4 (Magento Open Source)

до 2.3.7-p3 включительно (Magento Open Source)

до 2.4.3-p2 включительно (Adobe Commerce)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-34253
CVE

EPSS

Процентиль: 97%

0.37194

Средний

9.1 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2022-34253

CVSS3: 7.2

nvd

больше 3 лет назад

Adobe Commerce versions 2.4.3-p2 (and earlier), 2.3.7-p3 (and earlier) and 2.4.4 (and earlier) are affected by an XML Injection vulnerability in the Widgets Module. An attacker with admin privileges can trigger a specially crafted script to achieve remote code execution. Exploitation of this issue does not require user interaction.

GHSA-cj7w-pm77-hvg6