CVE-2024-42356 in Shopwareinformación

Resumen

por MITRE • 2024-08-08

Shopware es una plataforma de comercio abierta. Antes de las versiones 6.6.5.1 y 6.5.8.13, la variable `context` se inyecta en casi cualquier plantilla Twig y permite acceder al idioma actual y a la información de moneda. El objeto de contexto también permite cambiar durante un breve período el alcance del Contexto como ayuda con una función invocable. La función también se puede llamar desde Twig y como el segundo parámetro permite cualquier función invocable, es posible llamar desde Twig cualquier función/método PHP estáticamente invocable. Como cliente, no es posible proporcionar ningún código Twig; el atacante necesitaría acceso a la Administración para explotarlo utilizando plantillas de correo o App Scripts. Actualice a Shopware 6.6.5.1 o 6.5.8.13 para recibir un parche. Para versiones anteriores de 6.1, 6.2, 6.3 y 6.4, las medidas de seguridad correspondientes también están disponibles a través de un complemento.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Reservar

2024-07-30

Divulgación

2024-08-08

Moderación

aceptado

Artículo

VDB-273988

CPE

listo

EPSS

0.00648

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!