Vulnerabilidad en la página del listado de productos en Magento (CVE-2020-24400)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
09/11/2020
Última modificación:
12/11/2020
Descripción
Magento versiones 2.4.0 y 2.3.5 (y anteriores) están afectadas por una vulnerabilidad de inyección SQL que podría conllevar a una divulgación de información confidencial. Esta vulnerabilidad podría ser explotada por un usuario autenticado con permisos en la página del listado de productos para leer datos de la base de datos
Impacto
Puntuación base 3.x
7.10
Gravedad 3.x
ALTA
Puntuación base 2.0
5.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:* | 2.3.5 (excluyendo) | |
| cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:* | 2.3.5 (excluyendo) | |
| cpe:2.3:a:magento:magento:2.3.5:-:*:*:commerce:*:*:* | ||
| cpe:2.3:a:magento:magento:2.3.5:-:*:*:open_source:*:*:* | ||
| cpe:2.3:a:magento:magento:2.4.0:*:*:*:commerce:*:*:* | ||
| cpe:2.3:a:magento:magento:2.4.0:*:*:*:open_source:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página