PT-2024-29893 · Shopware · Shopware
Pweyck
·
Publicado
2024-08-08
·
Atualizado
2025-04-15
·
CVE-2024-42357
CVSS v3.1
7.3
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Shopware anteriores à 6.6.5.1
Versões do Shopware anteriores à 6.5.8.13
Descrição
A API da aplicação Shopware contém uma funcionalidade de pesquisa que permite aos usuários pesquisar informações armazenadas em sua instância do Shopware. As pesquisas realizadas por essa função podem ser agregadas usando os parâmetros no objeto
aggregations. O campo name nesse objeto aggregations é vulnerável a injeção de SQL e pode ser explorado usando parâmetros SQL.Recomendações
Atualize para o Shopware 6.6.5.1 ou 6.5.8.13 para receber um patch.
Para versões mais antigas, como 6.1, 6.2, 6.3 e 6.4, medidas de segurança correspondentes também estão disponíveis por meio de um plugin.
Como solução temporária, considere restringir o acesso ao objeto
aggregations até que um patch esteja disponível.Evite usar o campo
name no objeto aggregations até que o problema seja resolvido.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Shopware