CVE-2026-53787

Nome do Software Vulnerável e Versões Afetadas Amasty Order Attributes for Magento 2 versões anteriores a 4.0.0

Description Um problema de upload arbitrário de arquivos não autenticado permite que atacantes gravem arquivos de qualquer tipo ou nome no diretório de mídia da loja. Isso ocorre porque o endpoint de upload carece de autenticação, validação de sessão e contexto de carrinho. Isso pode levar à execução remota de código se o diretório de mídia permitir a execução de PHP. Além disso, possibilita a hospedagem de malware, cross-site scripting (XSS) armazenado — onde scripts maliciosos são armazenados permanentemente no servidor — via uploads de HTML ou SVG, e path traversal para gravar arquivos fora do diretório pretendido.

Recommendations Atualize para a versão 4.0.0 ou posterior.