Vulnerabilidad en los valores del encabezado HTTP Host en EC-CUBE (CVE-2022-25355)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
24/02/2022
Última modificación:
08/08/2023
Descripción
EC-CUBE versiones 3.0.0 a 3.0.18-p3 y EC-CUBE versiones 4.0.0 a 4.1.1, manejan inapropiadamente los valores del encabezado HTTP Host, lo que puede conllevar a que un atacante remoto no autenticado dirija la versión vulnerable de EC-CUBE para enviar un correo electrónico con alguna URL de reemisión de contraseña falsificada a usuarios de EC-CUBE
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ec-cube:ec-cube:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.0.18 (excluyendo) |
| cpe:2.3:a:ec-cube:ec-cube:*:*:*:*:*:*:*:* | 4.0.0 (incluyendo) | 4.1.1 (incluyendo) |
| cpe:2.3:a:ec-cube:ec-cube:3.0.18:-:*:*:*:*:*:* | ||
| cpe:2.3:a:ec-cube:ec-cube:3.0.18:p1:*:*:*:*:*:* | ||
| cpe:2.3:a:ec-cube:ec-cube:3.0.18:p2:*:*:*:*:*:* | ||
| cpe:2.3:a:ec-cube:ec-cube:3.0.18:p3:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página