CVE-2026-42207 in magento-ltsالمعلومات

الملخص

بحسب VulDB • 16/05/2026

يُعد مشروع Magento Long Term Support (LTS) مشروعاً غير رسمي وتقوده المجتمع، ويوفر بديلاً لمنصة التجارة الإلكترونية Magento Community Edition مع الحفاظ على مستوى عالٍ من التوافق العكسي. قبل الإصدار 20.18.0، تقوم الدالة `Mage_ProductAlert_AddController::stockAction()` بقراءة معامل الاستعلام `uenc` وتمريره مباشرةً إلى `$this->_redirectUrl($backUrl)` دون استدعاء `$this->_isUrlInternal()`. عندما لا يتطابق `product_id` المقدم مع أي منتج في الكتالوج، يصدر الخادم إعادة توجيه HTTP 302 غير مدققة إلى أي عنوان URL تم توفيره كمعامل `uenc`. تم إصلاح هذا الثغرة الأمنية في الإصدار 20.18.0.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

25/04/2026

إفشاء

15/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364213

CPE

جاهز

CWE

CWE-601 (مؤكد)

CVSS

6.1 (CNA)

EPSS

0.00029

KEV

لا

النشاطات

منخفض جدًا

القطاع

Transportation, Telecommunication, ...

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42207
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42207
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42207/

التالي ▸نظرة عامة ◂ السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!