CVE-2019-8156

Опубликовано: 06 нояб. 2019

Источник: nvd

CVSS3: 7.2

CVSS2: 6.5

EPSS Низкий

Описание

A server-side request forgery (SSRF) vulnerability exists in Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3 or 2.3.2-p1. An authenticated user with admin privileges to modify store configurations can manipulate the connector api endpoint to enable remote code execution.

Ссылки

https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update
Vendor Advisory
https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*

Версия от 2.2.0 (включая) до 2.2.10 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*

Версия от 2.2.0 (включая) до 2.2.10 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*

Версия от 2.3.0 (включая) до 2.3.2 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*

Версия от 2.3.0 (включая) до 2.3.2 (исключая)

cpe:2.3:a:magento:magento:2.3.2:-:*:*:commerce:*:*:*

cpe:2.3:a:magento:magento:2.3.2:-:*:*:open_source:*:*:*

EPSS

Процентиль: 78%

0.01105

Низкий

7.2 High

CVSS3

6.5 Medium

CVSS2

Дефекты

CWE-918

Связанные уязвимости

GHSA-775w-gx3f-4j4f