Описание
Magento version 2.4.0 and 2.3.5p1 (and earlier) are affected by an incorrect permissions vulnerability within the Integrations component. This vulnerability could be abused by users with permissions to the Pages resource to delete cms pages via the REST API without authorization.
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 2.3.5 (исключая)Версия до 2.3.5 (исключая)
Одно из
cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:2.3.5:-:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:2.3.5:-:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:2.3.5:p1:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:2.3.5:p1:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:2.4.0:*:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:2.4.0:*:*:*:open_source:*:*:*
EPSS
Процентиль: 50%
0.00273
Низкий
2.7 Low
CVSS3
5.5 Medium
CVSS2
Дефекты
CWE-285
NVD-CWE-Other
Связанные уязвимости
CVSS3: 2.7
github
больше 3 лет назад
Magento 2 Community Edition vulnerable to Improper Authorization
CVSS3: 7.5
fstec
больше 5 лет назад
Уязвимость компонента интеграции программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю удалять cms-страницы через REST API без авторизации
EPSS
Процентиль: 50%
0.00273
Низкий
2.7 Low
CVSS3
5.5 Medium
CVSS2
Дефекты
CWE-285
NVD-CWE-Other