CVE-2021-21013

Опубликовано: 13 янв. 2021

Источник: nvd

CVSS3: 8.1

CVSS2: 5.5

EPSS Низкий

Описание

Magento versions 2.4.1 (and earlier), 2.4.0-p1 (and earlier) and 2.3.6 (and earlier) are vulnerable to an insecure direct object vulnerability (IDOR) in the customer API module. Successful exploitation could lead to sensitive information disclosure and update arbitrary information on another user's account.

Ссылки

https://helpx.adobe.com/security/products/magento/apsb21-08.html
Release Notes
Vendor Advisory
https://helpx.adobe.com/security/products/magento/apsb21-08.html
Release Notes
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:adobe:magento:*:*:*:*:commerce:*:*:*

Версия до 2.4.1 (включая)

cpe:2.3:a:adobe:magento:*:*:*:*:open_source:*:*:*

Версия от 2.4.1 (включая)

EPSS

Процентиль: 70%

0.00645

Низкий

8.1 High

CVSS3

5.5 Medium

CVSS2

Дефекты

CWE-863

CWE-639

Связанные уязвимости

GHSA-5ffv-cqpm-6p2j

CVSS3: 8.1

github

больше 3 лет назад

Adobe Bridge version 11.0 (and earlier) is affected by an out-of-bounds write vulnerability when parsing TTF files that could result in arbitrary code execution in the context of the current user. Exploitation of this issue requires user interaction in that a victim must open a malicious file.

BDU:2021-01090

CVSS3: 7.1

fstec

почти 5 лет назад

Уязвимость модуля пользовательского API программной платформы для разработки и управления онлайн магазинами Magento Commerce, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

BDU:2021-00580

CVSS3: 8.8