Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2021-43846

Опубликовано: 20 дек. 2021
Источник: nvd
CVSS3: 5.3
CVSS3: 4.3
CVSS2: 4.3
EPSS Низкий

Описание

solidus_frontend is the cart and storefront for the Solidus e-commerce project. Versions of solidus_frontend prior to 3.1.5, 3.0.5, and 2.11.14 contain a cross-site request forgery (CSRF) vulnerability that allows a malicious site to add an item to the user's cart without their knowledge. Versions 3.1.5, 3.0.5, and 2.11.14 contain a patch for this issue. The patch adds CSRF token verification to the "Add to cart" action. Adding forgery protection to a form that missed it can have some side effects. Other CSRF protection strategies as well as a workaround involving modifcation to config/application.rb` are available. More details on these mitigations are available in the GitHub Security Advisory.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:nebulab:solidus:*:*:*:*:*:*:*:*
Версия до 2.11.14 (исключая)
cpe:2.3:a:nebulab:solidus:*:*:*:*:*:*:*:*
Версия от 3.0.0 (включая) до 3.0.5 (исключая)
cpe:2.3:a:nebulab:solidus:*:*:*:*:*:*:*:*
Версия от 3.1.0 (включая) до 3.1.5 (исключая)

EPSS

Процентиль: 32%
0.00127
Низкий

5.3 Medium

CVSS3

4.3 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-352

Связанные уязвимости

github логотип

GHSA-h3fg-h5v3-vf8m

CVSS3: 5.3
github
около 4 лет назад

CSRF forgery protection bypass in solidus_frontend

EPSS

Процентиль: 32%
0.00127
Низкий

5.3 Medium

CVSS3

4.3 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-352