Описание
In Spree before versions 3.7.11, 4.0.4, or 4.1.11, expired user tokens could be used to access Storefront API v2 endpoints. The issue is patched in versions 3.7.11, 4.0.4 and 4.1.11. A workaround without upgrading is described in the linked advisory.
Ссылки
- PatchThird Party Advisory
- Third Party Advisory
- PatchThird Party Advisory
- Third Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 3.7.11 (исключая)Версия от 4.0.0 (включая) до 4.0.4 (исключая)Версия от 4.1.0 (включая) до 4.1.11 (исключая)
Одно из
cpe:2.3:a:sparksolutions:spree:*:*:*:*:*:*:*:*
cpe:2.3:a:sparksolutions:spree:*:*:*:*:*:*:*:*
cpe:2.3:a:sparksolutions:spree:*:*:*:*:*:*:*:*
EPSS
Процентиль: 49%
0.00257
Низкий
7.4 High
CVSS3
9.1 Critical
CVSS3
6.4 Medium
CVSS2
Дефекты
CWE-287
CWE-613
Связанные уязвимости
CVSS3: 7.4
github
больше 5 лет назад
Ensure that doorkeeper_token is valid when authenticating requests in API v2 calls
EPSS
Процентиль: 49%
0.00257
Низкий
7.4 High
CVSS3
9.1 Critical
CVSS3
6.4 Medium
CVSS2
Дефекты
CWE-287
CWE-613