CVE-2024-20717

Versões 2.4.6-p3, 2.4.5-p5, 2.4.4-p6 e anteriores do Adobe Commerce

O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada que poderia ser explorada por um invasor com poucos privilégios para injetar scripts maliciosos em campos de formulário vulneráveis. JavaScript malicioso pode ser executado no navegador da vítima quando ela acessa a página que contém o campo vulnerável. A vulnerabilidade está associada à falta de proteção da estrutura da página da web, o que poderia permitir que um invasor remoto executasse código arbitrário. O Mage Adminhtml Block System Config Form Field File não escapa o valor do nome do arquivo em determinadas situações, tornando possível a injeção de scripts maliciosos.

Para as versões 2.4.6-p3, 2.4.5-p5, 2.4.4-p6 e anteriores do Adobe Commerce, considere desativar a função Mage Adminhtml Block System Config Form Field File até que um patch esteja disponível para impedir a exploração da vulnerabilidade XSS armazenada. Restrinja o acesso aos campos de upload de arquivos no painel de administração para minimizar o risco de exploração. Evite usar o valor do nome do arquivo em determinadas situações até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.