Описание
The create function in app/code/core/Mage/Catalog/Model/Product/Api/V2.php in Magento Community Edition (CE) before 1.9.2.1 and Enterprise Edition (EE) before 1.14.2.1, when used with PHP before 5.4.24 or 5.5.8, allows remote authenticated users to execute arbitrary PHP code via the productData parameter to index.php/api/v2_soap.
Ссылки
- ExploitThird Party Advisory
- ExploitThird Party Advisory
- Vendor Advisory
- ExploitThird Party AdvisoryVDB Entry
- ExploitMailing ListThird Party Advisory
- ExploitThird Party Advisory
- ExploitThird Party Advisory
- Vendor Advisory
- ExploitThird Party AdvisoryVDB Entry
- ExploitMailing ListThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 1.9.2.1 (исключая)Версия до 1.14.2.1 (исключая)Версия до 5.4.24 (исключая)Версия от 5.4.25 (включая) до 5.5.8 (исключая)
Одновременно
Одно из
cpe:2.3:a:magento:magento:*:*:*:*:community:*:*:*
cpe:2.3:a:magento:magento:*:*:*:*:enterprise:*:*:*
Одно из
cpe:2.3:a:php:php:*:*:*:*:*:*:*:*
cpe:2.3:a:php:php:*:*:*:*:*:*:*:*
EPSS
Процентиль: 85%
0.02665
Низкий
8.8 High
CVSS3
6.5 Medium
CVSS2
Дефекты
CWE-20
Связанные уязвимости
CVSS3: 8.8
github
около 3 лет назад
Magento arbitrary PHP code execution via the productData parameter
EPSS
Процентиль: 85%
0.02665
Низкий
8.8 High
CVSS3
6.5 Medium
CVSS2
Дефекты
CWE-20