Vulnerabilidad en EC-CUBE series (CVE-2023-46845)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

07/11/2023

Última modificación:

15/11/2023

Descripción

EC-CUBE series 3 (3.0.0 a 3.0.18-p6) y 4 (4.0.0 a 4.0.6-p3, 4.1.0 a 4.1.2-p2 y 4.2.0 a 4.2.2) contienen una vulnerabilidad de ejecución de código arbitrario debido a una configuración incorrecta del motor de plantillas Twig incluido en el producto. Como resultado, un usuario con privilegios administrativos puede ejecutar código arbitrario en el servidor donde se ejecuta el producto.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.20 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.20

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:ec-cube:ec-cube::::::::	3.0.0 (incluyendo)	3.0.18 (incluyendo)
cpe:2.3:a:ec-cube:ec-cube::::::::	4.0.0 (incluyendo)	4.0.6 (incluyendo)
cpe:2.3:a:ec-cube:ec-cube::::::::	4.1.0 (incluyendo)	4.1.2 (incluyendo)
cpe:2.3:a:ec-cube:ec-cube::::::::	4.2.0 (incluyendo)	4.2.3 (excluyendo)
cpe:2.3:a:ec-cube:ec-cube:3.0.18:p1::::::
cpe:2.3:a:ec-cube:ec-cube:3.0.18:p2::::::
cpe:2.3:a:ec-cube:ec-cube:3.0.18:p3::::::
cpe:2.3:a:ec-cube:ec-cube:3.0.18:p4::::::
cpe:2.3:a:ec-cube:ec-cube:3.0.18:p5::::::
cpe:2.3:a:ec-cube:ec-cube:3.0.18:p6::::::
cpe:2.3:a:ec-cube:ec-cube:4.0.6:p1::::::
cpe:2.3:a:ec-cube:ec-cube:4.0.6:p2::::::
cpe:2.3:a:ec-cube:ec-cube:4.0.6:p3::::::
cpe:2.3:a:ec-cube:ec-cube:4.1.2:p1::::::
cpe:2.3:a:ec-cube:ec-cube:4.1.2:p2::::::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:ec-cube:ec-cube::::::::	3.0.0 (incluyendo)	3.0.18 (incluyendo)
cpe:2.3:a:ec-cube:ec-cube::::::::	4.0.0 (incluyendo)	4.0.6 (incluyendo)
cpe:2.3:a:ec-cube:ec-cube::::::::	4.1.0 (incluyendo)	4.1.2 (incluyendo)
cpe:2.3:a:ec-cube:ec-cube::::::::	4.2.0 (incluyendo)	4.2.3 (excluyendo)
cpe:2.3:a:ec-cube:ec-cube:3.0.18:p1::::::
cpe:2.3:a:ec-cube:ec-cube:3.0.18:p2::::::
cpe:2.3:a:ec-cube:ec-cube:3.0.18:p3::::::
cpe:2.3:a:ec-cube:ec-cube:3.0.18:p4::::::
cpe:2.3:a:ec-cube:ec-cube:3.0.18:p5::::::
cpe:2.3:a:ec-cube:ec-cube:3.0.18:p6::::::
cpe:2.3:a:ec-cube:ec-cube:4.0.6:p1::::::
cpe:2.3:a:ec-cube:ec-cube:4.0.6:p2::::::
cpe:2.3:a:ec-cube:ec-cube:4.0.6:p3::::::
cpe:2.3:a:ec-cube:ec-cube:4.1.2:p1::::::
cpe:2.3:a:ec-cube:ec-cube:4.1.2:p2::::::

Vulnerabilidad en EC-CUBE series (CVE-2023-46845)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información