PT-2024-6966 · Adobe · Magento Open Source+1
Publicado
2024-10-08
·
Atualizado
2024-10-15
·
CVE-2024-45117
CVSS v3.1
7.6
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:L |
Nome do software vulnerável e versões afetadas
Versões do Adobe Commerce 2.4.7-p2, 2.4.6-p7, 2.4.5-p9, 2.4.4-p10 e anteriores
Versões do Magento Open Source 2.4.7-p2, 2.4.6-p7, 2.4.5-p9, 2.4.4-p10 e anteriores
Descrição
O problema está relacionado à validação insuficiente de entradas no Adobe Commerce e no Magento Open Source, permitindo que um invasor remoto divulgue informações protegidas. Um invasor com privilégios de administrador poderia explorar essa vulnerabilidade para ler arquivos do sistema fora dos diretórios pretendidos por meio da cadeia de filtros PHP, causando potencialmente um impacto de baixa disponibilidade no serviço. A exploração desse problema não requer interação do usuário.
Recomendações
Para as versões 2.4.7-p2, 2.4.6-p7, 2.4.5-p9, 2.4.4-p10 e anteriores do Adobe Commerce, atualize para uma versão mais recente para mitigar o risco.
Para as versões 2.4.7-p2, 2.4.6-p7, 2.4.5-p9, 2.4.4-p10 e anteriores do Magento Open Source, atualize para uma versão mais recente para mitigar o risco.
Como solução alternativa temporária, considere restringir o acesso à cadeia de filtros PHP para minimizar o risco de exploração.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Commerce
Magento Open Source