CVE-2023-32064

Опубликовано: 28 нояб. 2023

Источник: nvd

CVSS3: 5

CVSS3: 4.3

EPSS Низкий

Описание

OroCommerce package with customer portal and non authenticated visitor website base features. Back-office users can access information about Customer and Customer User menus, bypassing ACL security restrictions due to insufficient security checks. This issue has been patched in version 5.0.11 and 5.1.1.

Ссылки

https://github.com/oroinc/orocommerce/security/advisories/GHSA-8gwj-68w6-7v6c
Vendor Advisory
https://github.com/oroinc/orocommerce/security/advisories/GHSA-8gwj-68w6-7v6c
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:oroinc:orocommerce:*:*:*:*:*:*:*:*

Версия от 4.2.0 (включая) до 4.2.8 (включая)

cpe:2.3:a:oroinc:orocommerce:*:*:*:*:*:*:*:*

Версия от 5.0.0 (включая) до 5.0.11 (исключая)

cpe:2.3:a:oroinc:orocommerce:*:*:*:*:*:*:*:*

Версия от 5.1.0 (включая) до 5.1.1 (исключая)

EPSS

Процентиль: 24%

0.0008

Низкий

5 Medium

CVSS3

4.3 Medium

CVSS3

Дефекты

CWE-284

Связанные уязвимости

GHSA-8gwj-68w6-7v6c

CVSS3: 4.3

github

около 2 лет назад

OroCommerce Customer Portal Incorrect Customer and Customer Group Frontend Menus pages visibility

EPSS

Процентиль: 24%

0.0008

Низкий

5 Medium

CVSS3

4.3 Medium

CVSS3

Дефекты

CWE-284