Описание
Magento versions 2.4.2 (and earlier), 2.4.1-p1 (and earlier) and 2.3.6-p1 (and earlier) are affected by a Path Traversal vulnerability when creating a store with child theme.Successful exploitation could lead to arbitrary file system write by an authenticated attacker. Access to the admin console is required for successful exploitation.
Ссылки
- PatchVendor Advisory
- PatchVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 2.3.6 (исключая)Версия до 2.3.6 (исключая)
Одно из
cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:2.3.6:-:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:2.3.6:-:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:2.3.6:p1:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:2.3.6:p1:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:2.4.1:-:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:2.4.1:-:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:2.4.1:p1:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:2.4.1:p1:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:2.4.2:*:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:2.4.2:*:*:*:open_source:*:*:*
EPSS
Процентиль: 68%
0.00574
Низкий
5.4 Medium
CVSS3
7.2 High
CVSS3
6.5 Medium
CVSS2
Дефекты
CWE-22
Связанные уязвимости
CVSS3: 2.7
fstec
больше 4 лет назад
Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю записать произвольные файлы в файловую систему устройства
EPSS
Процентиль: 68%
0.00574
Низкий
5.4 Medium
CVSS3
7.2 High
CVSS3
6.5 Medium
CVSS2
Дефекты
CWE-22