CVE-2021-28566

Опубликовано: 08 сент. 2021

Источник: nvd

CVSS3: 3.7

CVSS3: 2.7

CVSS2: 4

EPSS Низкий

Описание

Magento versions 2.4.2 (and earlier), 2.4.1-p1 (and earlier) and 2.3.6-p1 (and earlier) are vulnerable to an Information Disclosure vulnerability when uploading a modified png file to a product image. Successful exploitation could lead to the disclosure of document root path by an unauthenticated attacker. Access to the admin console is required for successful exploitation.

Ссылки

https://helpx.adobe.com/security/products/magento/apsb21-30.html
Vendor Advisory
https://helpx.adobe.com/security/products/magento/apsb21-30.html
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*

Версия до 2.4.2 (включая)

cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*

Версия до 2.4.2 (включая)

EPSS

Процентиль: 67%

0.00539

Низкий

3.7 Low

CVSS3

2.7 Low

CVSS3

4 Medium

CVSS2

Дефекты

CWE-200

NVD-CWE-noinfo

Связанные уязвимости

GHSA-w942-fw92-mqm2

CVSS3: 3.7

github

больше 3 лет назад

Magento Information Disclosure vulnerability

BDU:2021-03277

CVSS3: 2.2

fstec

больше 4 лет назад

Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю получить доступ к конфиденциальной информации

EPSS

Процентиль: 67%

0.00539

Низкий

3.7 Low

CVSS3

2.7 Low

CVSS3

4 Medium

CVSS2

Дефекты

CWE-200

NVD-CWE-noinfo