exploitDog

GHSA-94wq-87g6-8h77

Опубликовано: 24 мая 2022

Источник: github

Github: Прошло ревью

CVSS4: 4.9

CVSS3: 6.5

Описание

Magento Open Source allows Cross-Site Request Forgery (CSRF)

Adobe Commerce versions 2.4.2-p2 (and earlier), 2.4.3 (and earlier) and 2.3.7p1 (and earlier) are affected by a cross-site request forgery (CSRF) vulnerability via a Wishlist Share Link. Successful exploitation could lead to unauthorized addition to a customer's cart by an unauthenticated attacker. Access to the admin console is not required for successful exploitation.

Ссылки

Пакеты

Наименование

magento/community-edition

composer

Затронутые версииВерсия исправления

>= 2.4.2-p1, <= 2.4.2-p2

Отсутствует

Наименование

magento/community-edition

composer

Затронутые версииВерсия исправления

= 2.4.3

Отсутствует

Наименование

magento/community-edition

composer

Затронутые версииВерсия исправления

<= 2.3.7-p1

2.3.7-p2

Наименование

magento/community-edition

composer

Затронутые версииВерсия исправления

= 2.4.2

Отсутствует

Наименование

magento/project-community-edition

composer

Затронутые версииВерсия исправления

<= 2.0.2

Отсутствует

EPSS

Процентиль: 75%

0.00863

Низкий

4.9 Medium

CVSS4

6.5 Medium

CVSS3

CVE ID

Дефекты

CWE-352

Связанные уязвимости

CVE-2021-39864

CVSS3: 6.5

nvd

больше 4 лет назад

Adobe Commerce versions 2.4.2-p2 (and earlier), 2.4.3 (and earlier) and 2.3.7p1 (and earlier) are affected by a cross-site request forgery (CSRF) vulnerability via a Wishlist Share Link. Successful exploitation could lead to unauthorized addition to customer cart by an unauthenticated attacker. Access to the admin console is not required for successful exploitation.

EPSS

Процентиль: 75%

0.00863

Низкий

4.9 Medium

CVSS4

6.5 Medium

CVSS3

CVE ID

Дефекты

CWE-352