CVE-2019-8141

Опубликовано: 06 нояб. 2019

Источник: nvd

CVSS3: 7.2

CVSS2: 6.5

EPSS Низкий

Описание

A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. An authenticated user with administrative privileges (system level import) can execute arbitrary code through a Phar deserialization vulnerability in the import functionality.

Ссылки

https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update
Patch
Vendor Advisory
https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*

Версия от 2.1.0 (включая) до 2.1.19 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*

Версия от 2.1.0 (включая) до 2.1.19 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*

Версия от 2.2.0 (включая) до 2.2.10 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*

Версия от 2.2.0 (включая) до 2.2.10 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*

Версия от 2.3.0 (включая) до 2.3.2 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*

Версия от 2.3.0 (включая) до 2.3.2 (исключая)

cpe:2.3:a:magento:magento:2.3.2:-:*:*:commerce:*:*:*

cpe:2.3:a:magento:magento:2.3.2:-:*:*:open_source:*:*:*

EPSS

Процентиль: 81%

0.01586

Низкий

7.2 High

CVSS3

6.5 Medium

CVSS2

Дефекты

CWE-502

Связанные уязвимости

GHSA-9wr9-fw9v-8fgr

CVSS3: 7.2

github

больше 3 лет назад

Magento 2 Community Edition RCE Vulnerability

EPSS

Процентиль: 81%

0.01586

Низкий

7.2 High

CVSS3

6.5 Medium

CVSS2

Дефекты

CWE-502