Описание
Magento versions 2.3.5-p1 and earlier, and 2.3.5-p1 and earlier have an observable timing discrepancy vulnerability. Successful exploitation could lead to signature verification bypass.
Ссылки
- PatchVendor Advisory
- PatchVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 2.3.5 (исключая)Версия до 2.3.5 (исключая)
Одно из
cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:2.3.5:-:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:2.3.5:-:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:2.3.5:p1:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:2.3.5:p1:*:*:open_source:*:*:*
EPSS
Процентиль: 64%
0.0047
Низкий
4.2 Medium
CVSS3
3.5 Low
CVSS2
Дефекты
CWE-203
Связанные уязвимости
CVSS3: 4.2
github
больше 3 лет назад
Magento observable timing discrepancy vulnerability
CVSS3: 4.5
fstec
больше 5 лет назад
Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к защищаемой информации
EPSS
Процентиль: 64%
0.0047
Низкий
4.2 Medium
CVSS3
3.5 Low
CVSS2
Дефекты
CWE-203