PT-2022-16963 · Shopware · Shopware
Publicado
2022-04-28
·
Atualizado
2022-05-10
·
CVE-2022-24892
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões do Shopware 5.0.4 a 5.7.8
Descrição
A vulnerabilidade permite que um invasor assuma o controle da conta de uma vítima caso obtenha acesso à conta de e-mail desta e encontre um token de redefinição de senha não utilizado nos e-mails. Isso é possível porque é possível solicitar vários tokens para redefinição de senha, e todos os tokens podem ser usados para alterar a senha.
Recomendações
Para as versões 5.0.4 a 5.7.8, atualize para a versão 5.7.9 para resolver o problema.
Como solução temporária, considere restringir o acesso à funcionalidade de redefinição de senha até que a atualização seja aplicada.
Para versões mais antigas, considere usar o Security Plugin como medida alternativa de mitigação.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Shopware