PT-2020-14308 · Smartstore · Smartstore
Michael-Herzog
·
Publicado
2020-10-08
·
Atualizado
2021-11-18
·
CVE-2020-15243
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 4.0.0 a 4.0.1 do Smartstore
Descrição
O problema está relacionado à ausência do atributo de autenticação da Web API nas versões afetadas do Smartstore. Isso afeta as lojas Smartstore que instalaram e ativaram o plugin da Web API.
Recomendações
Para as versões 4.0.0 e 4.0.1, mescle o repositório com a versão 4.0.x ou substitua o arquivo SmartStore.Web.Framework no diretório /bin da loja implantada pelo arquivo atualizado.
Como solução alternativa temporária para as versões 4.0.0 e 4.0.1, considere desinstalar o plug-in Web API para corrigir a vulnerabilidade.
Correção
Improper Authentication
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Smartstore