PT-2021-6351 · Adobe · Magento Commerce
Publicado
2021-08-11
·
Atualizado
2022-05-24
·
CVE-2021-36039
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Magento Commerce versões 2.4.2 e anteriores
Magento Commerce versões 2.4.2-p1 e anteriores
Magento Commerce versões 2.3.7 e anteriores
Descrição
O problema está relacionado à validação inadequada de entradas por meio do parâmetro
quoteId, permitindo que um invasor divulgue informações confidenciais. Também está associado a uma autorização inadequada, o que pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas.Recomendações
Para as versões 2.4.2 e anteriores do Magento Commerce, atualize para uma versão que corrija os problemas de validação inadequada de entradas e autorização.
Para as versões 2.4.2-p1 e anteriores do Magento Commerce, atualize para uma versão que corrija os problemas de validação inadequada de entradas e de autorização.
Para as versões 2.3.7 e anteriores do Magento Commerce, atualize para uma versão que corrija os problemas de validação inadequada de entradas e de autorização.
Como solução temporária, considere restringir o acesso ao parâmetro
quoteId para minimizar o risco de exploração.Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Magento Commerce