PT-2021-6365 · Adobe+1 · Magento Commerce+1
Publicado
2021-09-01
·
Atualizado
2022-05-24
·
CVE-2021-36043
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:M/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Magento Commerce versões 2.4.2 e anteriores
Magento Commerce versões 2.4.2-p1 e anteriores
Magento Commerce versões 2.3.7 e anteriores
Descrição
O problema está relacionado à validação insuficiente de solicitações recebidas na plataforma Magento Commerce, o que pode ser explorado por um invasor remoto para obter execução remota de código com privilégios de administrador, especialmente se o Redis estiver habilitado. Isso pode ocorrer devido a uma vulnerabilidade SSRF cega na extensão dotmailer incluída no pacote.
Recomendações
Para as versões 2.4.2 e anteriores do Magento Commerce, atualize para uma versão que inclua uma correção para a vulnerabilidade SSRF cega na extensão dotmailer.
Para as versões 2.4.2-p1 e anteriores do Magento Commerce, atualize para uma versão que inclua uma correção para a vulnerabilidade SSRF cega na extensão dotmailer.
Para as versões 2.3.7 e anteriores do Magento Commerce, atualize para uma versão que inclua uma correção para a vulnerabilidade SSRF cega na extensão dotmailer.
Correção
RCE
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Magento Commerce
Redis