CVE-2023-26260

Опубликовано: 11 апр. 2023

Источник: nvd

CVSS3: 5.4

EPSS Низкий

Описание

OXID eShop 6.2.x before 6.4.4 and 6.5.x before 6.5.2 allows session hijacking, leading to partial access of a customer's account by an attacker, due to an improper check of the user agent.

Ссылки

https://docs.oxid-esales.com/de/security/security-bulletins.html#security-bulletin-2023-001
Vendor Advisory
https://docs.oxid-esales.com/de/security/security-bulletins.html#security-bulletin-2023-001
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:oxidforge:oxid_eshop:*:*:*:*:community:*:*:*

Версия от 6.2.0 (включая) до 6.5.2 (исключая)

cpe:2.3:a:oxidforge:oxid_eshop:*:*:*:*:enterprise:*:*:*

Версия от 6.2.0 (включая) до 6.5.2 (исключая)

cpe:2.3:a:oxidforge:oxid_eshop:*:*:*:*:professional:*:*:*

Версия от 6.2.0 (включая) до 6.5.2 (исключая)

EPSS

Процентиль: 60%

0.00403

Низкий

5.4 Medium

CVSS3

Дефекты

NVD-CWE-noinfo

CWE-384

Связанные уязвимости

GHSA-65vp-436r-q4g3

CVSS3: 5.4

github

почти 3 года назад

OXID eShop 6.2.x before 6.4.4 and 6.5.x before 6.5.2 allows session hijacking, leading to partial access of a customer's account by an attacker, due to an improper check of the user agent.

EPSS

Процентиль: 60%

0.00403

Низкий

5.4 Medium

CVSS3

Дефекты

NVD-CWE-noinfo

CWE-384