PT-2022-14906 · Ec Cube · Mail Magazine Management Plugin+1
山本健太
·
Publicado
2022-02-24
·
Atualizado
2022-03-03
·
CVE-2022-21179
CVSS v2.0
4.3
Média
| Vetor | AV:N/AC:M/Au:N/C:N/I:P/A:N |
Nome do software vulnerável e versões afetadas
Plugin do EC-CUBE “Mail Magazine Management Plugin”, versões 4.0.0 a 4.1.1 (para a série EC-CUBE 4)
Plugin do EC-CUBE “Mail Magazine Management Plugin”, versões 1.0.0 a 1.0.4 (para a série EC-CUBE 3)
Descrição
Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) permite que um invasor remoto não autenticado se aproprie da autenticação de um administrador por meio de uma página especialmente criada. Isso pode resultar na exclusão acidental de modelos de boletins informativos e/ou de informações do histórico de transmissões.
Recomendações
Para as versões 4.0.0 a 4.1.1 (para a série EC-CUBE 4), considere desativar o ‘Mail Magazine Management Plugin’ até que uma correção esteja disponível para impedir a exploração.
Para as versões 1.0.0 a 1.0.4 (para a série EC-CUBE 3), restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração.
Como solução temporária, evite usar os recursos do plugin que possam ser vulneráveis a ataques CSRF até que o problema seja resolvido.
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ec-Cube
Mail Magazine Management Plugin