CVE-2024-41676

Versões do Magento-lts anteriores à 20.10.1

Este problema afeta as configurações de sistema design/header/welcome, design/header/logo src, design/header/logo src small e design/header/logo alt, que têm como objetivo permitir que os administradores definam um texto ou uma URL de imagem. Devido à falta de escapamento anteriormente, era possível inserir HTML arbitrário e, consequentemente, JavaScript arbitrário. Isso pode ser um problema em cenários em que os usuários trabalham com funções mais restritivas no backend, podendo levar a uma escalada de privilégios indesejada.

Para versões anteriores à 20.10.1, atualize para a versão 20.10.1 ou superior para corrigir o problema.

Como solução temporária, considere restringir o acesso às Configurações do Sistema.

Verifique os modelos onde essas configurações são usadas para aplicar a filtragem HTML adequada.

Para usuários que dependem da capacidade de usar HTML nessas configurações, restaure o comportamento anterior usando o novo método ->getUnescapedValue() em elementos escapados e analise o recém-introduzido Mage Core Model Security HtmlEscapedString.