PT-2024-23111 · Saleor · Saleor
Nyankiyoshi
·
Publicado
2024-03-27
·
Atualizado
2026-01-08
·
CVE-2024-29888
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Saleor anteriores à 3.14.61
Versões do Saleor anteriores à 3.15.37
Versões do Saleor anteriores à 3.16.34
Versões do Saleor anteriores à 3.17.32
Versões do Saleor anteriores à 3.18.28
Versões do Saleor anteriores à 3.19.15
Descrição
O problema ocorre ao usar o método de entrega “Retirada: Somente estoque local” (click-and-collect) em condições específicas, permitindo que o cliente substitua o endereço do armazém pelo seu próprio, o que expõe seu endereço como endereço de retirada.
Recomendações
Para versões anteriores à 3.14.61, atualize para a versão 3.14.61 ou posterior.
Para versões anteriores à 3.15.37, atualize para a versão 3.15.37 ou posterior.
Para versões anteriores à 3.16.34, atualize para a versão 3.16.34 ou posterior.
Para versões anteriores à 3.17.32, atualize para a versão 3.17.32 ou posterior.
Para versões anteriores à 3.18.28, atualize para a versão 3.18.28 ou posterior.
Para versões anteriores à 3.19.15, atualize para a versão 3.19.15 ou posterior.
Como solução alternativa temporária, considere desativar o método de entrega “clique e retire” na visualização do armazém quando a opção
Retirada estiver definida como Somente estoque local.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Saleor