PT-2021-6372 · Adobe · Magento Commerce
Publicado
2021-08-11
·
Atualizado
2022-05-24
·
CVE-2021-36026
CVSS v2.0
7.1
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Magento Commerce versões 2.4.2 e anteriores
Magento Commerce versões 2.4.2-p1 e anteriores
Magento Commerce versões 2.3.7 e anteriores
Descrição
O problema está relacionado à falta de proteção da estrutura da página web no Magento Commerce. Isso poderia permitir que um invasor remoto executasse código arbitrário no contexto do usuário atual. A vulnerabilidade é um problema de cross-site scripting armazenado no recurso de upload de endereço do cliente, que poderia ser explorado por um invasor para injetar scripts maliciosos em campos de formulário vulneráveis. Como resultado, JavaScript malicioso pode ser executado no navegador da vítima quando ela acessa a página que contém o campo vulnerável.
Recomendações
Para as versões 2.4.2 e anteriores do Magento Commerce, atualize para uma versão que inclua uma correção para a vulnerabilidade de cross-site scripting armazenado no recurso de upload de endereço do cliente.
Para as versões 2.4.2-p1 e anteriores do Magento Commerce, atualize para uma versão que inclua uma correção para a vulnerabilidade de cross-site scripting armazenado no recurso de upload de endereço do cliente.
Para as versões 2.3.7 e anteriores do Magento Commerce, atualize para uma versão que inclua uma correção para a vulnerabilidade de cross-site scripting armazenado no recurso de upload de endereço do cliente.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Magento Commerce