CVE-2019-8122

Опубликовано: 05 нояб. 2019

Источник: nvd

CVSS3: 8.8

CVSS2: 6.5

EPSS Низкий

Описание

A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. An authenticated user with privileges to create products can craft custom layout update and use import product functionality to enable remote code execution.

Ссылки

https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update
Patch
Vendor Advisory
https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*

Версия от 2.1.0 (включая) до 2.1.19 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*

Версия от 2.1.0 (включая) до 2.1.19 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*

Версия от 2.2.0 (включая) до 2.2.10 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*

Версия от 2.2.0 (включая) до 2.2.10 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*

Версия от 2.3.0 (включая) до 2.3.2 (включая)

cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*

Версия от 2.3.0 (включая) до 2.3.2 (включая)

EPSS

Процентиль: 78%

0.01125

Низкий

8.8 High

CVSS3

6.5 Medium

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

GHSA-5v5p-x8c2-mqxp

CVSS3: 8.8

github

больше 3 лет назад

Magento 2 Community Edition RCE Vulnerability

EPSS

Процентиль: 78%

0.01125

Низкий

8.8 High

CVSS3

6.5 Medium

CVSS2

Дефекты

NVD-CWE-noinfo