Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en un plugin en la configuración del agente de correo en Shopware (CVE-2021-37708)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
16/08/2021
Última modificación:
25/10/2022

Descripción

Shopware es una plataforma de comercio electrónico de código abierto. Versiones anteriores a 6.4.3.1, contienen una vulnerabilidad de inyección de comandos en la configuración del agente de correo. Versión 6.4.3.1 contiene un parche. Como solución para las versiones anteriores de 6.1, 6.2 y 6.3, las medidas de seguridad correspondientes también están disponibles por medio de un plugin.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:shopware:shopware:*:*:*:*:*:*:*:* 6.1.0 (incluyendo) 6.4.3.1 (excluyendo)