PT-2020-4583 · Adobe · Magento
Publicado
2020-10-15
·
Atualizado
2024-03-06
·
CVE-2020-24407
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões 2.4.0 e 2.3.5p1 (e anteriores) do Magento
Descrição
O problema está relacionado a uma vulnerabilidade de upload de arquivos inseguro, que pode resultar na execução de código arbitrário. Isso pode ser explorado por usuários autenticados com permissões administrativas nos componentes System/Data e Transfer/Import. A vulnerabilidade está associada à falta de restrições no upload de arquivos, permitindo que um invasor remoto execute código arbitrário.
Recomendações
Para as versões 2.4.0 e 2.3.5p1 (e anteriores) do Magento, considere restringir o acesso aos componentes System/Data e Transfer/Import para minimizar o risco de exploração. Como solução temporária, limite a funcionalidade de upload de arquivos até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Magento