Vulnerabilidad en Magento (CVE-2021-36036)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
06/09/2023
Última modificación:
14/09/2023
Descripción
Las versiones 2.4.2 (y anteriores), 2.4.2-p1 (y anteriores) y 2.3.7 (y anteriores) de Magento están afectadas por una vulnerabilidad de control de acceso incorrecta dentro del flujo de trabajo de Magento's Media Gallery Upload. Al almacenar un archivo especialmente manipulado en la galería del sitio web, un atacante autenticado con privilegios administrativos puede obtener acceso para eliminar el archivo .htaccess. Esto podría provocar que el atacante logre la ejecución remota de código.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:* | 2.3.7 (excluyendo) | |
| cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:* | 2.3.7 (excluyendo) | |
| cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:* | 2.4.0 (incluyendo) | 2.4.2 (excluyendo) |
| cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:* | 2.4.0 (incluyendo) | 2.4.2 (excluyendo) |
| cpe:2.3:a:magento:magento:2.3.7:-:*:*:commerce:*:*:* | ||
| cpe:2.3:a:magento:magento:2.3.7:-:*:*:open_source:*:*:* | ||
| cpe:2.3:a:magento:magento:2.4.2:-:*:*:commerce:*:*:* | ||
| cpe:2.3:a:magento:magento:2.4.2:-:*:*:open_source:*:*:* | ||
| cpe:2.3:a:magento:magento:2.4.2:p1:*:*:commerce:*:*:* | ||
| cpe:2.3:a:magento:magento:2.4.2:p1:*:*:open_source:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página