PT-2024-29891 · Shopware · Shopware

Creastery

·

Publicado

2024-08-08

·

Atualizado

2024-08-12

·

CVE-2024-42355

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Shopware anteriores à 6.6.5.1
Versões do Shopware anteriores à 6.5.8.13
Descrição
O problema diz respeito a uma nova tag Twig sw silent feature call no Shopware, que silencia mensagens de depreciação. Essa tag aceita um parâmetro de string para o nome do sinalizador de recurso a ser silenciado, mas o parâmetro não é escapado corretamente, permitindo a execução de código.
Recomendações
Atualize para o Shopware 6.6.5.1 para receber um patch.
Atualize para o Shopware 6.5.8.13 para receber um patch.
Para versões mais antigas, como 6.2, 6.3 e 6.4, instale um plugin que forneça medidas de segurança correspondentes para mitigar o problema.

Exploit

Correção

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-94CWE-1336

Identificadores relacionados

CVE-2024-42355
GHSA-27WP-JVHW-V4XP

Produtos afetados

Shopware