GHSA-7gpv-xrjr-f5h4

Опубликовано: 24 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 5.4

Описание

Magento Path Traversal vulnerability

Magento versions 2.4.2 (and earlier), 2.4.1-p1 (and earlier) and 2.3.6-p1 (and earlier) are affected by a Path Traversal vulnerability when creating a store with child theme.Successful exploitation could lead to arbitrary file system write by an authenticated attacker. Access to the admin console is required for successful exploitation.

Ссылки

Пакеты

Наименование

magento/community-edition

composer

Затронутые версииВерсия исправления

>= 2.4.0, < 2.4.2-p1

2.4.2-p1

Наименование

magento/community-edition

composer

Затронутые версииВерсия исправления

< 2.3.7

2.3.7

Наименование

magento/project-community-edition

composer

Затронутые версииВерсия исправления

<= 2.0.2

Отсутствует

EPSS

Процентиль: 68%

0.00574

Низкий

5.4 Medium

CVSS3

CVE ID

CVE-2021-28584

Дефекты

CWE-22

Связанные уязвимости

CVE-2021-28584

CVSS3: 5.4

nvd

больше 4 лет назад

BDU:2021-03284

CVSS3: 2.7

fstec

больше 4 лет назад

Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю записать произвольные файлы в файловую систему устройства

EPSS

Процентиль: 68%

0.00574

Низкий

5.4 Medium

CVSS3

CVE ID

CVE-2021-28584

Дефекты

CWE-22