CVE-2020-9588

Опубликовано: 26 июн. 2020

Источник: nvd

CVSS3: 7.2

CVSS2: 6.5

EPSS Низкий

Описание

Magento versions 2.3.4 and earlier, 2.2.11 and earlier (see note), 1.14.4.4 and earlier, and 1.9.4.4 and earlier have an observable timing discrepancy vulnerability. Successful exploitation could lead to signature verification bypass.

Ссылки

https://helpx.adobe.com/security/products/magento/apsb20-22.html
Vendor Advisory
https://helpx.adobe.com/security/products/magento/apsb20-22.html
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:magento:magento:*:*:*:*:community:*:*:*

Версия до 1.9.4.4 (включая)

cpe:2.3:a:magento:magento:*:*:*:*:enterprise:*:*:*

Версия до 1.14.4.4 (включая)

cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*

Версия от 2.2.0 (включая) до 2.2.11 (включая)

cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*

Версия от 2.2.0 (включая) до 2.2.11 (включая)

cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*

Версия от 2.3.0 (включая) до 2.3.4 (включая)

cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*

Версия от 2.3.0 (включая) до 2.3.4 (включая)

EPSS

Процентиль: 78%

0.01185

Низкий

7.2 High

CVSS3

6.5 Medium

CVSS2

Дефекты

CWE-203

Связанные уязвимости

GHSA-j2r4-2cr6-h3r3

CVSS3: 7.2

github

больше 3 лет назад

Magento Signature verification bypass

BDU:2021-04357

CVSS3: 7.5

fstec

почти 6 лет назад

Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации