PT-2021-6356 · Adobe · Magento Commerce
Publicado
2021-08-11
·
Atualizado
2022-05-24
·
CVE-2021-36044
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Magento Commerce versões 2.4.2 e anteriores
Magento Commerce versões 2.4.2-p1 e anteriores
Magento Commerce versões 2.3.7 e anteriores
Descrição
A vulnerabilidade existe devido à validação insuficiente de entradas na plataforma Magento Commerce, permitindo que um invasor remoto cause uma negação de serviço. Um invasor não autenticado poderia explorar essa vulnerabilidade para causar uma negação de serviço no lado do servidor usando um campo GraphQL.
Recomendações
Para as versões 2.4.2 e anteriores, atualize para uma versão que inclua a correção para a vulnerabilidade de validação inadequada de entradas.
Para as versões 2.4.2-p1 e anteriores, atualize para uma versão que inclua a correção para a vulnerabilidade de validação de entrada inadequada.
Para as versões 2.3.7 e anteriores, atualize para uma versão que inclua a correção para a vulnerabilidade de validação de entrada inadequada.
Como solução alternativa temporária, considere restringir o acesso aos campos GraphQL para minimizar o risco de exploração.
Correção
DoS
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Magento Commerce