Описание
Magento versions 2.4.2 (and earlier), 2.4.1-p1 (and earlier) and 2.3.6-p1 (and earlier) are affected by a DOM-based Cross-Site Scripting vulnerability on mage-messages cookies. Successful exploitation could lead to arbitrary JavaScript execution by an unauthenticated attacker. User interaction is required for successful exploitation.
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 2.3.7 (исключая)Версия до 2.3.7 (исключая)Версия от 2.4.0 (включая) до 2.4.2 (включая)Версия от 2.4.0 (включая) до 2.4.2 (включая)
Одно из
cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*
EPSS
Процентиль: 96%
0.23863
Средний
6.9 Medium
CVSS3
4.8 Medium
CVSS3
3.5 Low
CVSS2
Дефекты
CWE-79
Связанные уязвимости
CVSS3: 6.9
github
больше 3 лет назад
Magento DOM-based Cross-Site Scripting vulnerability on mage-messages cookies
CVSS3: 6.1
fstec
больше 4 лет назад
Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный JavaScript-код
EPSS
Процентиль: 96%
0.23863
Средний
6.9 Medium
CVSS3
4.8 Medium
CVSS3
3.5 Low
CVSS2
Дефекты
CWE-79