Описание
Adobe Commerce versions 2.4.4-p2 (and earlier) and 2.4.5-p1 (and earlier) are affected by an XML Injection vulnerability that could lead to arbitrary file system read. An unauthenticated attacker can force the application to make arbitrary requests via injection of arbitrary URLs. Exploitation of this issue does not require user interaction.
Ссылки
- Release NotesVendor Advisory
- Release NotesVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 2.4.4 (исключая)Версия до 2.4.4 (исключая)
Одно из
cpe:2.3:a:adobe:commerce:*:*:*:*:*:*:*:*
cpe:2.3:a:adobe:commerce:2.4.4:-:*:*:*:*:*:*
cpe:2.3:a:adobe:commerce:2.4.4:p1:*:*:*:*:*:*
cpe:2.3:a:adobe:commerce:2.4.4:p2:*:*:*:*:*:*
cpe:2.3:a:adobe:commerce:2.4.5:-:*:*:*:*:*:*
cpe:2.3:a:adobe:commerce:2.4.5:p1:*:*:*:*:*:*
cpe:2.3:a:adobe:magento_open_source:*:*:*:*:*:*:*:*
cpe:2.3:a:adobe:magento_open_source:2.4.4:-:*:*:*:*:*:*
cpe:2.3:a:adobe:magento_open_source:2.4.4:p1:*:*:*:*:*:*
cpe:2.3:a:adobe:magento_open_source:2.4.4:p2:*:*:*:*:*:*
cpe:2.3:a:adobe:magento_open_source:2.4.5:-:*:*:*:*:*:*
cpe:2.3:a:adobe:magento_open_source:2.4.5:p1:*:*:*:*:*:*
EPSS
Процентиль: 72%
0.00736
Низкий
7.5 High
CVSS3
Дефекты
CWE-91
Связанные уязвимости
CVSS3: 7.5
fstec
больше 2 лет назад
Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с ошибками в обработке XML-запросов, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
EPSS
Процентиль: 72%
0.00736
Низкий
7.5 High
CVSS3
Дефекты
CWE-91