PT-2021-6361 · Adobe · Magento Commerce

Publicado

2021-08-11

·

Atualizado

2022-05-24

·

CVE-2021-36012

CVSS v2.0

6.8

Média

VetorAV:N/AC:L/Au:S/C:N/I:C/A:N
Nome do software vulnerável e versões afetadas
Magento Commerce versões 2.4.2 e anteriores
Magento Commerce versões 2.4.2-p1 e anteriores
Magento Commerce versões 2.3.7 e anteriores
Descrição
O problema está relacionado a um erro de lógica de negócios na mutação placeOrder do GraphQL, permitindo que um invasor autenticado altere o preço de um item. Isso se deve ao tratamento incorreto de operações lógicas, o que pode ser explorado por um invasor remoto para contornar as restrições de segurança existentes.
Recomendações
Para as versões 2.4.2 e anteriores do Magento Commerce, atualize para uma versão que corrija o erro de lógica de negócios na mutação GraphQL placeOrder.
Para as versões 2.4.2-p1 e anteriores do Magento Commerce, atualize para uma versão que corrija o erro de lógica de negócios na mutação GraphQL placeOrder.
Para as versões 2.3.7 e anteriores do Magento Commerce, atualize para uma versão que corrija o erro de lógica de negócios na mutação GraphQL placeOrder.
Como solução alternativa temporária, considere restringir o acesso à mutação GraphQL placeOrder até que um patch esteja disponível.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-840

Identificadores relacionados

BDU:2022-01387
CVE-2021-36012
GHSA-3F97-7PGV-GMGR

Produtos afetados

Magento Commerce