CVE-2021-36026

Опубликовано: 01 сент. 2021

Источник: nvd

CVSS3: 6.5

CVSS3: 6.1

CVSS2: 4.3

EPSS Низкий

Описание

Magento Commerce versions 2.4.2 (and earlier), 2.4.2-p1 (and earlier) and 2.3.7 (and earlier) are affected by a stored cross-site scripting vulnerability in the customer address upload feature that could be abused by an attacker to inject malicious scripts into vulnerable form fields. Malicious JavaScript may be executed in a victim’s browser when they browse to the page containing the vulnerable field.

Ссылки

https://helpx.adobe.com/security/products/magento/apsb21-64.html
Patch
Vendor Advisory
https://helpx.adobe.com/security/products/magento/apsb21-64.html
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:adobe:adobe_commerce:*:*:*:*:*:*:*:*

Версия от 2.3.0 (включая) до 2.3.7 (включая)

cpe:2.3:a:adobe:adobe_commerce:*:*:*:*:*:*:*:*

Версия от 2.4.0 (включая) до 2.4.2 (включая)

cpe:2.3:a:adobe:adobe_commerce:2.4.2:p1:*:*:*:*:*:*

cpe:2.3:a:adobe:magento_open_source:*:*:*:*:*:*:*:*

Версия от 2.3.0 (включая) до 2.3.7 (включая)

cpe:2.3:a:adobe:magento_open_source:*:*:*:*:*:*:*:*

Версия от 2.4.0 (включая) до 2.4.2 (включая)

cpe:2.3:a:adobe:magento_open_source:2.4.2:p1:*:*:*:*:*:*

EPSS

Процентиль: 81%

0.01528

Низкий

6.5 Medium

CVSS3

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

GHSA-8gfq-m4cf-w975

github

больше 3 лет назад

Magento stored cross-site scripting vulnerability in the customer address upload feature

BDU:2022-01398

CVSS3: 6.5

fstec

больше 4 лет назад

Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 81%

0.01528

Низкий

6.5 Medium

CVSS3

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79