PT-2021-22711 · Adobe · Commerce
Publicado
2021-10-15
·
Atualizado
2022-05-24
·
CVE-2021-39864
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N |
**Nome do software vulnerável e versões afetadas:
Adobe Commerce versões 2.4.3 e anteriores, 2.4.2-p2 e anteriores, 2.3.7p1 e anteriores
Descrição:
Existe uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) relacionada ao link de compartilhamento da lista de desejos, permitindo que um invasor não autenticado adicione itens ao carrinho de um cliente sem autorização. Isso pode ser explorado sem acesso ao console de administração.
Recomendações:
Para as versões 2.4.3 e anteriores, 2.4.2-p2 e anteriores, 2.3.7p1 e anteriores, atualize para uma versão que inclua uma correção para este problema, a fim de impedir adições não autorizadas aos carrinhos dos clientes. Como solução temporária, considere restringir o acesso ao recurso “Wishlist Share Link” até que um patch esteja disponível.
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Commerce