GHSA-4h3p-63x6-vwg2

Опубликовано: 24 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 5.6

Описание

Magento Insufficient Session Expiration

Magento versions 2.4.1 (and earlier), 2.4.0-p1 (and earlier) and 2.3.6 (and earlier) do not adequately invalidate user sessions. Successful exploitation could lead to unauthorized access to restricted resources. Access to the admin console is not required for successful exploitation.

Ссылки

Пакеты

Наименование

magento/community-edition

composer

Затронутые версииВерсия исправления

>= 2.4.0, < 2.4.1-p1

2.4.1-p1

Наименование

magento/community-edition

composer

Затронутые версииВерсия исправления

< 2.3.6

2.3.6

Наименование

magento/project-community-edition

composer

Затронутые версииВерсия исправления

<= 2.0.2

Отсутствует

EPSS

Процентиль: 37%

0.00159

Низкий

5.6 Medium

CVSS3

CVE ID

CVE-2021-21031

Дефекты

CWE-613

Связанные уязвимости

CVE-2021-21031

CVSS3: 5.6

nvd

почти 5 лет назад

BDU:2021-01534

CVSS3: 5.6

fstec

почти 5 лет назад

Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с отсутствием автоматического завершения всех сеансов после смены пароля, позволяющая нарушителю получить несанкционированный доступ к ограниченным ресурсам

EPSS

Процентиль: 37%

0.00159

Низкий

5.6 Medium

CVSS3

CVE ID

CVE-2021-21031

Дефекты

CWE-613