Vulnerabilidad en los detalles de todos los pedidos en Sylius (CVE-2021-32720)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
28/06/2021
Última modificación:
02/07/2021
Descripción
Sylius es una plataforma Open Source eCommerce sobre Symfony. En las versiones de Sylius anteriores a 1.9.5 y 1.10.0-RC.1, parte de los detalles (ID del pedido, número de pedido, total de artículos y valor del token) de todos los pedidos colocados estaban expuestos a usuarios no autorizados. Si es explotado apropiadamente, también se pueden obtener algunos datos adicionales como el número de artículos en el carrito y la fecha de envío. Estos datos no parecen ser cruciales ni son datos personales, sin embargo, podrían ser usados para ataques sociotécnicos o pueden exponer algunos detalles sobre el estado de la tienda a terceros. Los posibles datos que se pueden agregar son el número de pedidos procesados o su valor en el momento. El problema ha sido parcheado en Sylius versiones 1.9.5 y 1.10.0-RC.1. Se presentan algunas soluciones para la vulnerabilidad. La primera solución posible es ocultar los endpoints problemáticos detrás del firewall de los usuarios no conectados. Esto pondría sólo la lista de pedidos bajo el firewall y permitiría que sólo los usuarios autorizados accedieran a ella. Una vez que un usuario está autorizado, sólo tendrá acceso a sus pedidos. La segunda solución posible es decorar el "Sylius\Bundle\ApiBundle\Doctrine\QueryCollectionExtension\OrdersByLoggedInUserExtension" y lanzar "Symfony\Component\Security\Core\Exception\AccessDeniedException" si la clase es ejecutada por un usuario no autorizado
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sylius:sylius:*:*:*:*:*:*:*:* | 1.9.0 (incluyendo) | 1.9.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página