CVE-2021-36023

Опубликовано: 06 сент. 2023

Источник: nvd

CVSS3: 9.1

CVSS3: 7.2

EPSS Низкий

Описание

Magento Commerce versions 2.4.2 (and earlier), 2.4.2-p1 (and earlier) and 2.3.7 (and earlier) are affected by an XML Injection vulnerability in the Widgets Update Layout. An attacker with admin privileges can trigger a specially crafted script to achieve remote code execution.

Ссылки

https://helpx.adobe.com/security/products/magento/apsb21-64.html
Vendor Advisory
https://helpx.adobe.com/security/products/magento/apsb21-64.html
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*

Версия до 2.3.7 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*

Версия до 2.3.7 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*

Версия от 2.4.0 (включая) до 2.4.2 (исключая)

cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*

Версия от 2.4.0 (включая) до 2.4.2 (исключая)

cpe:2.3:a:magento:magento:2.3.7:-:*:*:commerce:*:*:*

cpe:2.3:a:magento:magento:2.3.7:-:*:*:open_source:*:*:*

cpe:2.3:a:magento:magento:2.4.2:-:*:*:commerce:*:*:*

cpe:2.3:a:magento:magento:2.4.2:-:*:*:open_source:*:*:*

cpe:2.3:a:magento:magento:2.4.2:p1:*:*:commerce:*:*:*

cpe:2.3:a:magento:magento:2.4.2:p1:*:*:open_source:*:*:*

EPSS

Процентиль: 93%

0.09651

Низкий

9.1 Critical

CVSS3

7.2 High

CVSS3

Дефекты

CWE-78

Связанные уязвимости

GHSA-8cjg-f53m-8m9q

CVSS3: 9.1

github

больше 2 лет назад

Magento XML Injection vulnerability in the Widgets Update Layout

BDU:2022-01389

CVSS3: 9.1

fstec

больше 4 лет назад

Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 93%

0.09651

Низкий

9.1 Critical

CVSS3

7.2 High

CVSS3

Дефекты

CWE-78