CVE-2021-21022

Magento Commerce Incorrect permissions Could Lead To Unauthorized Access

CVSS 5.3 MEDIUMEPSS 2.2%CWE-639

Em resumo

O Magento Commerce possui uma falha que permite a atacantes acessar produtos e informações que não deveriam poder ver, modificando referências diretas a objetos. Isso pode expor dados sensíveis de produtos ou permitir que usuários não autorizados visualizem recursos restritos.

Detalhe técnico

Uma vulnerabilidade de referência direta insegura a objetos (IDOR) existe no módulo de produtos do Magento, onde verificações de permissão insuficientes permitem que atacantes acessem recursos restritos manipulando referências diretas. A exploração requer modificação de identificadores de produtos ou parâmetros de API; o sucesso resulta em divulgação não autorizada de dados sensíveis de produtos.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Magento versions 2.4.1 (and earlier), 2.4.0-p1 (and earlier) and 2.3.6 (and earlier) are vulnerable to an insecure direct object reference (IDOR) in the product module. Successful exploitation could lead to unauthorized access to restricted resources.

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Produtos afetados

Adobe · Magento Commerce

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://helpx.adobe.com/security/products/magento/apsb21-08.html