PT-2024-28954 · Sylius · Sylius
Publicado
2024-07-17
·
Atualizado
2024-07-18
·
CVE-2024-40633
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Sylius anteriores à 1.12.19
Versões do Sylius anteriores à 1.13.4
Descrição
Foi detectada uma falha de segurança no endpoint “/api/v2/shop/adjustments/{id}”, que recupera ajustes de pedidos com base em IDs inteiros incrementais. A falha permite que um invasor enumere IDs de ajustes válidos e recupere tokens de pedidos. Usando esses tokens, um invasor pode acessar detalhes de pedidos de clientes visitantes, incluindo informações confidenciais desses clientes.
Recomendações
Para versões do Sylius anteriores à 1.12.19, atualize para a versão 1.12.19 ou superior.
Para versões do Sylius anteriores à 1.13.4, atualize para a versão 1.13.4 ou superior.
Como solução alternativa temporária para usuários que não possam atualizar, altere a configuração para mitigar este problema criando um arquivo “config/api platform/Adjustment.yaml” com as configurações especificadas ou modificando o arquivo “config/api platform/Adjustment.xml” para alterar a operação “shop get”.
Exploit
Correção
IDOR
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Sylius