Описание
An unrestricted file upload vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated admin user can manipulate the Synchronization feature in the Media File Storage of the database to transform uploaded JPEG file into a PHP file.
Ссылки
- PatchVendor Advisory
- PatchVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 2.2.0 (включая) до 2.2.10 (исключая)Версия от 2.2.0 (включая) до 2.2.10 (исключая)Версия от 2.3.0 (включая) до 2.3.2 (исключая)Версия от 2.3.0 (включая) до 2.3.2 (исключая)
Одно из
cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:2.3.2:-:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:2.3.2:-:*:*:open_source:*:*:*
EPSS
Процентиль: 47%
0.00241
Низкий
4.9 Medium
CVSS3
4 Medium
CVSS2
Дефекты
CWE-434
Связанные уязвимости
EPSS
Процентиль: 47%
0.00241
Низкий
4.9 Medium
CVSS3
4 Medium
CVSS2
Дефекты
CWE-434