PT-2024-29890 · Shopware · Shopware
Joshuabehrens
·
Publicado
2024-08-08
·
Atualizado
2024-08-12
·
CVE-2024-42354
CVSS v4.0
5.9
Média
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:A/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Shopware anteriores à 6.6.5.1
Versões do Shopware anteriores à 6.5.8.13
Descrição
O problema está relacionado à API da loja, que opera com entidades regulares e expõe à API pública apenas os campos marcados como ApiAware na EntityDefinition. No entanto, em versões anteriores a determinadas versões, o processamento dos Critérios não considerava associações ManyToMany, o que poderia levar a uma avaliação inadequada e à falha das proteções. Este problema não pode ser reproduzido com entidades padrão, mas pode ser acionado com extensões.
Recomendações
Atualize para o Shopware 6.6.5.1 para receber um patch.
Atualize para o Shopware 6.5.8.13 para receber um patch.
Para versões mais antigas, como 6.2, 6.3 e 6.4, instale o plugin de segurança correspondente para aplicar medidas de segurança.
Exploit
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Shopware