BDU:2024-01528: Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор Adobe Systems Inc.
Наименование ПО Adobe Commerce, Magento Open Source
Версия ПО от 2.4.4 до 2.4.4-p6 включительно (Adobe Commerce), от 2.4.5 до 2.4.5:p5 включительно (Adobe Commerce), от 2.4.6 до 2.4.6-p3 включительно (Adobe Commerce), от 2.4.6 до 2.4.6-p3 включительно (Magento Open Source), от 2.4.5 до 2.4.5-p5 включительно (Magento Open Source), от 2.4.4 до 2.4.4-p6 включительно (Magento Open Source), от 2.4.3 до 2.4.3-ext-5 включительно (Adobe Commerce), от 2.4.2 до 2.4.2-ext-5 включительно (Adobe Commerce), от 2.4.1 до 2.4.1-ext-5 включительно (Adobe Commerce), от 2.4.0 до 2.4.0-ext-5 включительно (Adobe Commerce), от 2.3.7 до 2.3.7-p4-ext-5 включительно (Adobe Commerce)
Тип ПО Прикладное ПО информационных систем
Операционные системы и аппаратные платформы Данные уточняются
Тип ошибки Непринятие мер по защите структуры веб-страницы (или \«Межсайтовая сценарная атака\»)
Идентификатор типа ошибки CWE-79
Класс уязвимости Уязвимость кода
Дата выявления 15.02.2024
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:S/C:P/I:P/A:N
  • CVSS 3.0: AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)
Возможные меры по устранению уязвимости
Использование рекомендаций производителя:
https://helpx.adobe.com/security/products/magento/apsb24-03.html
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Инъекция
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются