PT-2024-19007 · Pimcore · Pimcore Ecommerce Framework Bundle
Wisconaut
·
Publicado
2024-01-10
·
Atualizado
2024-01-17
·
CVE-2024-21665
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Pimcore Ecommerce Framework Bundle anteriores à 1.0.10
Descrição
A vulnerabilidade permite que um usuário autenticado e não autorizado acesse a lista de pedidos do back-office e consulte as informações retornadas devido à falta de controle de acesso e permissões adequados. Isso pode ser feito acessando o endpoint
admin/ecommerceframework/admin-order/list, que parece não validar as permissões do usuário. Como resultado, um usuário não autorizado pode acessar os pedidos do back-office sem a devida autorização.Recomendações
Para versões anteriores à 1.0.10, atualize para a versão 1.0.10 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint
admin/ecommerceframework/admin-order/list até que a atualização seja aplicada. Além disso, verifique e certifique-se de que todos os usuários tenham permissões e controles de acesso adequados para impedir o acesso não autorizado a dados confidenciais.Exploit
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pimcore Ecommerce Framework Bundle