Vulnerabilidad en Shopware (CVE-2023-22733)
Severidad:
MEDIA
Type:
CWE-532
Exposición de información a través de archivos de log
Fecha de publicación:
17/01/2023
Última modificación:
25/01/2023
Descripción
Shopware es una plataforma de comercio de código abierto basada en Symfony Framework y Vue js. En las versiones afectadas, el módulo de registro escribiría todo tipo de correos enviados. Un atacante con acceso a los registros del sistema local o a un almacén de registros centralizado puede tener acceso a las cuentas de otros usuarios. Este problema se solucionó en la versión 6.4.18.1. Para las versiones anteriores 6.1, 6.2 y 6.3 también están disponibles las medidas de seguridad correspondientes a través de un complemento. Para obtener la gama completa de funciones, recomendamos actualizar a la última versión de Shopware. Los usuarios que no puedan actualizar pueden eliminar de todos los usuarios los derechos ACL del módulo de registro o desactivar el registro.
Impacto
Puntuación base 3.x
6.50
Severidad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:shopware:shopware:*:*:*:*:*:*:*:* | 6.4.18.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://developer.shopware.com/docs/guides/hosting/performance/performance-tweaks#logging
- https://docs.shopware.com/en/shopware-6-en/security-updates/security-update-01-2023?category=security-updates
- https://github.com/shopware/platform/commit/407a83063d7141c1a626441799c3ebef79498c07
- https://github.com/shopware/platform/security/advisories/GHSA-7cp7-jfp6-jh4f