Vulnerabilidad en Adobe Commerce (CVE-2023-38221)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
13/10/2023
Última modificación:
14/10/2023
Descripción
Las versiones de Adobe Commerce 2.4.7-beta1 (y anteriores), 2.4.6-p2 (y anteriores), 2.4.5-p4 (y anteriores) y 2.4.4-p5 (y anteriores) se ven afectadas por una neutralización inadecuada de funciones especiales. Elementos utilizados en una vulnerabilidad de comando SQL ("Inyección SQL") que podría provocar la ejecución de código arbitrario por parte de un atacante autenticado con privilegios de administrador. La explotación de este problema no requiere la interacción del usuario y la complejidad del ataque es alta, ya que requiere conocimiento de herramientas más allá del simple uso de la interfaz de usuario.
Impacto
Puntuación base 3.x
6.60
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:adobe:commerce:2.3.7:-:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:commerce:2.3.7:p1:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:commerce:2.3.7:p2:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:commerce:2.3.7:p3:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:commerce:2.3.7:p4:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:commerce:2.3.7:p4-ext1:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:commerce:2.3.7:p4-ext2:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:commerce:2.3.7:p4-ext3:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:commerce:2.3.7:p4-ext4:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:commerce:2.4.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:commerce:2.4.0:ext-1:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:commerce:2.4.0:ext-2:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:commerce:2.4.0:ext-3:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:commerce:2.4.0:ext-4:*:*:*:*:*:* | ||
| cpe:2.3:a:adobe:commerce:2.4.1:-:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página