GHSA-h4xc-577p-hgj9

Опубликовано: 24 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 4.3

Описание

Magento cross-site request forgery (CSRF) vulnerability via the GraphQL API

Magento versions 2.4.1 (and earlier), 2.4.0-p1 (and earlier) and 2.3.6 (and earlier) are affected by a cross-site request forgery (CSRF) vulnerability via the GraphQL API. Successful exploitation could lead to unauthorized modification of customer metadata by an unauthenticated attacker. Access to the admin console is not required for successful exploitation.

Ссылки

Пакеты

Наименование

magento/community-edition

composer

Затронутые версииВерсия исправления

< 2.3.6-p1

2.3.6-p1

Наименование

magento/community-edition

composer

Затронутые версииВерсия исправления

>= 2.4.0, < 2.4.2

2.4.2

Наименование

magento/project-community-edition

composer

Затронутые версииВерсия исправления

<= 2.0.2

Отсутствует

EPSS

Процентиль: 35%

0.00146

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2021-21027

Дефекты

CWE-352

Связанные уязвимости

CVE-2021-21027

CVSS3: 4.3

nvd

почти 5 лет назад

BDU:2021-01539

CVSS3: 4.3

fstec

почти 5 лет назад

Уязвимость компонента интеграции программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с отсутствием защиты от межсайтовой подмены запросов, позволяющая нарушителю выполнить несанкционированное изменение метаданных пользователя

EPSS

Процентиль: 35%

0.00146

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2021-21027

Дефекты

CWE-352