PT-2024-19397 · Shopware · Shopware
Pweyck
·
Publicado
2024-01-16
·
Atualizado
2024-01-24
·
CVE-2024-22407
CVSS v3.1
4.9
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Shopware anteriores à 6.5.7.4
Descrição
O manipulador de estado para pedidos no CMS do Shopware não verifica adequadamente as autorizações dos usuários para ações que modificam o pagamento, a entrega e/ou o status do pedido. Devido a essa implementação inadequada, usuários sem permissões de “gravação” para pedidos ainda conseguem alterar o estado do pedido.
Recomendações
Atualize para o Shopware 6.5.7.4
Para versões mais antigas, como 6.1, 6.2, 6.3 e 6.4, medidas de segurança correspondentes também estão disponíveis por meio de um plugin.
Como solução temporária, considere restringir o acesso a ações de modificação do estado do pedido para usuários sem permissões de “gravação” até que um patch seja aplicado.
Exploit
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Shopware