CVE-2021-21025

Опубликовано: 11 фев. 2021

Источник: nvd

CVSS3: 9.1

CVSS2: 6.5

EPSS Низкий

Описание

Magento versions 2.4.1 (and earlier), 2.4.0-p1 (and earlier) and 2.3.6 (and earlier) are vulnerable to XML injection in the product layout updates. Successful exploitation could lead to arbitrary code execution by an authenticated attacker. Access to the admin console is required for successful exploitation.

Ссылки

https://helpx.adobe.com/security/products/magento/apsb21-08.html
Vendor Advisory
https://helpx.adobe.com/security/products/magento/apsb21-08.html
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*

Версия до 2.3.6 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*

Версия до 2.3.6 (исключая)

cpe:2.3:a:magento:magento:2.3.6:-:*:*:commerce:*:*:*

cpe:2.3:a:magento:magento:2.3.6:-:*:*:open_source:*:*:*

cpe:2.3:a:magento:magento:2.4.0:-:*:*:commerce:*:*:*

cpe:2.3:a:magento:magento:2.4.0:-:*:*:open_source:*:*:*

cpe:2.3:a:magento:magento:2.4.0:p1:*:*:commerce:*:*:*

cpe:2.3:a:magento:magento:2.4.0:p1:*:*:open_source:*:*:*

cpe:2.3:a:magento:magento:2.4.1:-:*:*:commerce:*:*:*

cpe:2.3:a:magento:magento:2.4.1:-:*:*:open_source:*:*:*

EPSS

Процентиль: 89%

0.04724

Низкий

9.1 Critical

CVSS3

6.5 Medium

CVSS2

Дефекты

CWE-91

Связанные уязвимости

GHSA-h437-qjj9-vmq4

CVSS3: 9.1

github

больше 3 лет назад

Magento XPath Injection

BDU:2021-01544

CVSS3: 9.1

fstec

почти 5 лет назад

Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками в обработке XML-запросов, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 89%

0.04724

Низкий

9.1 Critical

CVSS3

6.5 Medium

CVSS2

Дефекты

CWE-91