CVE-2021-21027

Опубликовано: 11 фев. 2021

Источник: nvd

CVSS3: 4.3

CVSS2: 4.3

EPSS Низкий

Описание

Magento versions 2.4.1 (and earlier), 2.4.0-p1 (and earlier) and 2.3.6 (and earlier) are affected by a cross-site request forgery (CSRF) vulnerability via the GraphQL API. Successful exploitation could lead to unauthorized modification of customer metadata by an unauthenticated attacker. Access to the admin console is not required for successful exploitation.

Ссылки

https://helpx.adobe.com/security/products/magento/apsb21-08.html
Vendor Advisory
https://helpx.adobe.com/security/products/magento/apsb21-08.html
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*

Версия до 2.3.6 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*

Версия до 2.3.6 (исключая)

cpe:2.3:a:magento:magento:2.3.6:-:*:*:commerce:*:*:*

cpe:2.3:a:magento:magento:2.3.6:-:*:*:open_source:*:*:*

cpe:2.3:a:magento:magento:2.4.0:-:*:*:commerce:*:*:*

cpe:2.3:a:magento:magento:2.4.0:-:*:*:open_source:*:*:*

cpe:2.3:a:magento:magento:2.4.0:p1:*:*:commerce:*:*:*

cpe:2.3:a:magento:magento:2.4.0:p1:*:*:open_source:*:*:*

cpe:2.3:a:magento:magento:2.4.1:-:*:*:commerce:*:*:*

cpe:2.3:a:magento:magento:2.4.1:-:*:*:open_source:*:*:*

EPSS

Процентиль: 35%

0.00146

Низкий

4.3 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-352

Связанные уязвимости

GHSA-h4xc-577p-hgj9

CVSS3: 4.3

github

больше 3 лет назад

Magento cross-site request forgery (CSRF) vulnerability via the GraphQL API

BDU:2021-01539

CVSS3: 4.3

fstec

почти 5 лет назад

Уязвимость компонента интеграции программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с отсутствием защиты от межсайтовой подмены запросов, позволяющая нарушителю выполнить несанкционированное изменение метаданных пользователя

EPSS

Процентиль: 35%

0.00146

Низкий

4.3 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-352