Описание
Magento versions 2.4.0 and 2.3.5p1 (and earlier) are affected by an unsafe file upload vulnerability that could result in arbitrary code execution. This vulnerability could be abused by authenticated users with administrative permissions to the System/Data and Transfer/Import components.
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 2.3.5 (исключая)Версия до 2.3.5 (исключая)
Одно из
cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:2.3.5:-:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:2.3.5:-:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:2.3.5:p1:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:2.3.5:p1:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:2.4.0:*:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:2.4.0:*:*:*:open_source:*:*:*
EPSS
Процентиль: 88%
0.03721
Низкий
9.1 Critical
CVSS3
9 Critical
CVSS2
Дефекты
CWE-434
Связанные уязвимости
CVSS3: 9.1
github
больше 3 лет назад
Magento 2 Community Edition RCE via Unsafe File Upload
CVSS3: 9.8
fstec
больше 5 лет назад
Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с отсутствием ограничений на загрузку файлов, позволяющая нарушителю выполнить произвольный код
EPSS
Процентиль: 88%
0.03721
Низкий
9.1 Critical
CVSS3
9 Critical
CVSS2
Дефекты
CWE-434