Описание
Shopware, an open ecommerce platform, has a new Twig Tag sw_silent_feature_call which silences deprecation messages while triggered in this tag. Prior to versions 6.6.5.1 and 6.5.8.13, it accepts as parameter a string the feature flag name to silence, but this parameter is not escaped properly and allows execution of code. Update to Shopware 6.6.5.1 or 6.5.8.13 to receive a patch. For older versions of 6.2, 6.3, and 6.4, corresponding security measures are also available via a plugin.
Ссылки
- Patch
- Patch
- Patch
- Patch
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 6.5.8.13 (исключая)Версия от 6.6.0.0 (включая) до 6.6.5.1 (исключая)
Одно из
cpe:2.3:a:shopware:shopware:*:*:*:*:*:*:*:*
cpe:2.3:a:shopware:shopware:*:*:*:*:*:*:*:*
EPSS
Процентиль: 73%
0.00777
Низкий
8.3 High
CVSS3
9.8 Critical
CVSS3
Дефекты
CWE-1336
CWE-94
Связанные уязвимости
CVSS3: 8.3
github
больше 1 года назад
Shopware vulnerable to Server Side Template Injection in Twig using deprecation silence tag
EPSS
Процентиль: 73%
0.00777
Низкий
8.3 High
CVSS3
9.8 Critical
CVSS3
Дефекты
CWE-1336
CWE-94