PT-2020-14310 · Sylius · Sylius
Decemvre
+1
·
Publicado
2020-10-19
·
Atualizado
2021-11-18
·
CVE-2020-15245
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Sylius anteriores à 1.6.9
Versões do Sylius anteriores à 1.7.9
Versões do Sylius anteriores à 1.8.3
Descrição
A falha permite que um usuário se cadastre em uma loja por e-mail, verifique o endereço, altere-o para um e-mail diferente e permaneça verificado e com a conta ativada. Isso pode levar à existência de contas vinculadas a endereços de e-mail totalmente diferentes que foram verificados. Observe que isso não permite a apropriação de nenhuma conta existente.
Recomendações
Para versões do Sylius anteriores à 1.6.9, atualize para a versão 1.6.9 ou mais recente.
Para versões do Sylius anteriores à 1.7.9, atualize para a versão 1.7.9 ou mais recente.
Para versões do Sylius anteriores à 1.8.3, atualize para a versão 1.8.3 ou mais recente.
Como solução alternativa temporária para versões que não podem ser atualizadas, crie um ouvinte de eventos personalizado que escute o evento
sylius.customer.pre update para determinar se o e-mail foi alterado, verificando se o e-mail do cliente e o nome de usuário são diferentes, e ajuste a lógica de acordo, considerando o comportamento de alteração de e-mail para administradores.Exploit
Correção
Missing Authorization
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Sylius