Описание
Magento versions 2.4.2 (and earlier), 2.4.2-p1 (and earlier) and 2.3.7 (and earlier) are affected by an Improper input validation vulnerability within the CMS page scheduled update feature. An authenticated attacker with administrative privilege could leverage this vulnerability to achieve remote code execution on the system.
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 2.3.7 (исключая)Версия до 2.3.7 (исключая)Версия от 2.4.0 (включая) до 2.4.2 (исключая)Версия от 2.4.0 (включая) до 2.4.2 (исключая)
Одно из
cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:2.3.7:-:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:2.3.7:-:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:2.4.2:-:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:2.4.2:-:*:*:open_source:*:*:*
cpe:2.3:a:magento:magento:2.4.2:p1:*:*:commerce:*:*:*
cpe:2.3:a:magento:magento:2.4.2:p1:*:*:open_source:*:*:*
EPSS
Процентиль: 75%
0.00898
Низкий
7.2 High
CVSS3
Дефекты
CWE-20
NVD-CWE-noinfo
Связанные уязвимости
CVSS3: 9.1
github
больше 2 лет назад
Magento affected by remote code execution vulnerability in the CMS page scheduled update feature
CVSS3: 9.1
fstec
больше 4 лет назад
Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю выполнить произвольный код
EPSS
Процентиль: 75%
0.00898
Низкий
7.2 High
CVSS3
Дефекты
CWE-20
NVD-CWE-noinfo