Описание
Magento versions 2.4.2 (and earlier), 2.4.1-p1 (and earlier) and 2.3.6-p1 (and earlier) are affected by an Improper Authorization vulnerability via the 'Create Customer' endpoint. Successful exploitation could lead to unauthorized modification of customer data by an unauthenticated attacker. Access to the admin console is required for successful exploitation.
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 2.3.7 (исключая)Версия до 2.3.7 (исключая)Версия от 2.4.0 (включая) до 2.4.2 (включая)Версия от 2.4.0 (включая) до 2.4.2 (включая)
Одно из
cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*
EPSS
Процентиль: 49%
0.00257
Низкий
6.5 Medium
CVSS3
6.4 Medium
CVSS2
Дефекты
CWE-285
NVD-CWE-Other
Связанные уязвимости
CVSS3: 6.5
github
больше 3 лет назад
Magento Unauthorized access to restricted resources
CVSS3: 3.8
fstec
больше 4 лет назад
Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
EPSS
Процентиль: 49%
0.00257
Низкий
6.5 Medium
CVSS3
6.4 Medium
CVSS2
Дефекты
CWE-285
NVD-CWE-Other