PT-2021-6294 · Adobe · Magento Commerce
Publicado
2021-08-11
·
Atualizado
2022-05-24
·
CVE-2021-36025
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Magento Commerce versões 2.4.2 e anteriores
Magento Commerce versões 2.4.2-p1 e anteriores
Magento Commerce versões 2.3.7 e anteriores
Descrição
O problema está relacionado à validação inadequada de entradas ao salvar os dados de um cliente com um arquivo especialmente criado. Um invasor autenticado com privilégios de administrador pode explorar essa falha para executar código remotamente. A vulnerabilidade existe devido à validação insuficiente de entradas, permitindo que um invasor remoto execute código arbitrário.
Recomendações
Para as versões 2.4.2 e anteriores do Magento Commerce, atualize para uma versão que inclua as correções necessárias para a validação de entradas.
Para as versões 2.4.2-p1 e anteriores do Magento Commerce, atualize para uma versão que inclua as correções necessárias de validação de entrada.
Para as versões 2.3.7 e anteriores do Magento Commerce, atualize para uma versão que inclua as correções necessárias de validação de entrada.
Como solução alternativa temporária, considere restringir o acesso à funcionalidade de salvamento de detalhes do cliente para minimizar o risco de exploração.
Correção
RCE
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Magento Commerce