PT-2022-24863 · Saleor · Saleor
Nyankiyoshi
·
Publicado
2022-10-06
·
Atualizado
2023-01-23
·
CVE-2022-39275
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Saleor anteriores à 3.1.24
Versões do Saleor anteriores à 3.2.14
Versões do Saleor anteriores à 3.3.26
Versões do Saleor anteriores à 3.4.24
Versões do Saleor anteriores à 3.5.23
Versões do Saleor anteriores à 3.6.18
Versões do Saleor anteriores à 3.7.17
Descrição
A vulnerabilidade afeta uma plataforma de comércio GraphQL sem interface gráfica, na qual algumas mutações GraphQL não verificavam adequadamente o tipo de entrada de ID. Isso permitia o acesso a objetos do banco de dados aos quais o usuário autenticado poderia não ter permissão, expondo potencialmente informações como a contagem de linhas de tabelas com chave primária sequencial ou endereços de e-mail e nomes completos de usuários da equipe e clientes por meio da mutação
assignNavigation().Recomendações
Para versões anteriores à 3.1.24, atualize para a versão 3.1.24 ou posterior.
Para versões anteriores à 3.2.14, atualize para a versão 3.2.14 ou posterior.
Para versões anteriores à 3.3.26, atualize para a versão 3.3.26 ou posterior.
Para versões anteriores à 3.4.24, atualize para a versão 3.4.24 ou posterior.
Para versões anteriores à 3.5.23, atualize para a versão 3.5.23 ou posterior.
Para versões anteriores à 3.6.18, atualize para a versão 3.6.18 ou posterior.
Para versões anteriores à 3.7.17, atualize para a versão 3.7.17 ou posterior.
Exploit
Correção
Incorrect Authorization
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Saleor