Vulnerabilidad en los roles de usuario en Magento (CVE-2020-24401)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/11/2020
Última modificación:
12/11/2020
Descripción
Magento versiones 2.4.0 y 2.3.5p1 (y anteriores) están afectadas por una vulnerabilidad de autorización incorrecta. Un usuario aún puede acceder a los recursos aprovisionados con su rol anterior después de que un administrador elimine el rol o deshabilite la cuenta del usuario
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:* | 2.3.5 (excluyendo) | |
| cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:* | 2.3.5 (excluyendo) | |
| cpe:2.3:a:magento:magento:2.3.5:-:*:*:commerce:*:*:* | ||
| cpe:2.3:a:magento:magento:2.3.5:-:*:*:open_source:*:*:* | ||
| cpe:2.3:a:magento:magento:2.3.5:p1:*:*:commerce:*:*:* | ||
| cpe:2.3:a:magento:magento:2.3.5:p1:*:*:open_source:*:*:* | ||
| cpe:2.3:a:magento:magento:2.4.0:*:*:*:commerce:*:*:* | ||
| cpe:2.3:a:magento:magento:2.4.0:*:*:*:open_source:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página