PT-2022-16944 · Shopware · Shopware
Nils Evers
·
Publicado
2022-04-20
·
Atualizado
2022-05-03
·
CVE-2022-24872
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Shopware anteriores à 6.4.10.1
Descrição
O problema diz respeito às permissões definidas no contexto do canal de vendas pela admin-api, que permanecem ativas durante uma sessão normal de usuário. Isso afeta o Shopware, uma plataforma de comércio aberta baseada no Symfony Framework e no Vue. Não há soluções alternativas conhecidas para este problema.
Recomendações
Para as versões 6.1, 6.2 e 6.3, instale o plugin de segurança correspondente para resolver o problema.
Para todas as versões afetadas, atualize para a versão 6.4.10.1 para resolver o problema. A atualização pode ser obtida regularmente através do Auto-Updater ou diretamente na página de downloads.
Exploit
Correção
Incorrect Permission
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Shopware