Описание
A security bypass vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An unauthenticated user can bypass the email confirmation mechanism via GET request that captures relevant account data obtained from the POST response related to new user creation.
Ссылки
- PatchVendor Advisory
- PatchVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 2.2.0 (включая) до 2.2.10 (исключая)Версия от 2.2.0 (включая) до 2.2.10 (исключая)Версия от 2.3.0 (включая) до 2.3.2 (исключая)Версия от 2.3.0 (включая) до 2.3.2 (исключая)
Одно из
cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:2.3.2:-:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:2.3.2:-:*:*:open_source:*:*:*
EPSS
Процентиль: 27%
0.00095
Низкий
7.5 High
CVSS3
5 Medium
CVSS2
Дефекты
CWE-345
Связанные уязвимости
EPSS
Процентиль: 27%
0.00095
Низкий
7.5 High
CVSS3
5 Medium
CVSS2
Дефекты
CWE-345