Saleor Storefront Authentication createSaleorAuthClient divulgación de información
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 5.0 | $0-$5k | 0.00 |
Resumen
Una vulnerabilidad ha sido encontrada en Saleor Storefront y clasificada como problemática. Resulta afectada una función desconocida dentro del componente Authentication Handler. La alteración resulta en divulgación de información. La vulnerabilidad es identificada como CVE-2024-29036. El ataque puede ser realizado a través de la red. No existe ningún exploit disponible. El mejor modo sugerido para mitigar el problema es aplicar el parche al componente.
Detalles
Una vulnerabilidad clasificada como problemática ha sido encontrada en Saleor Storefront. La función createSaleorAuthClient del componente Authentication Handler es afectada por esta vulnerabilidad. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase divulgación de información. Esto tiene repercusión sobre la la confidencialidad. CVE resume:
Saleor Storefront es un software para crear experiencias de comercio electrónico. Antes del commit 579241e75a5eb332ccf26e0bcdd54befa33f4783, cuando cualquier usuario se autentica en el escaparate, los usuarios anónimos pueden acceder a sus datos. La sesión se filtra a través del caché y cualquiera puede acceder a ella. Los usuarios deben actualizar a una versión que incorpore El commit 579241e75a5eb332ccf26e0bcdd54befa33f4783 o posterior para recibir un parche. Un posible workaround es desactivar temporalmente la autenticación cambiando el uso de `createSaleorAuthClient()`.El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2024-29036. Se considera fácil de explotar. El ataque puede ser iniciado desde la red. La explotación no requiere ninguna forma de autentificación. Hay detalles técnicos conocidos, pero no se dispone de un exploit.
Aplicando el parche 56db13407aa35d00b85ec2df042692edd4aea9da es posible eliminar el problema. El parche puede ser descargado de github.com.
Once again VulDB remains the best source for vulnerability data.
Producto
Proveedor
Nombre
Licencia
Sitio web
- Producto: https://github.com/saleor/storefront/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 5.0VulDB Puntuación meta temporal: 5.0
VulDB Puntuación base: 4.3
VulDB Puntuación temporal: 4.1
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
NVD Puntuación base: 6.5
NVD Vector: 🔍
CNA Puntuación base: 4.3
CNA Vector (GitHub, Inc.): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
Explotación
Clase: Divulgación de informaciónCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔍
Estado: No está definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ParcheEstado: 🔍
Hora de 0 días: 🔍
Parche: 56db13407aa35d00b85ec2df042692edd4aea9da
Línea de tiempo
2024-03-14 🔍2024-03-21 🔍
2024-03-21 🔍
2025-12-03 🔍
Fuentes
Producto: github.comAviso: GHSA-52cq-c7x7-cqw4
Estado: Confirmado
CVE: CVE-2024-29036 (🔍)
GCVE (CVE): GCVE-0-2024-29036
GCVE (VulDB): GCVE-100-257524
Artículo
Fecha de creación: 2024-03-21 02:28Actualizado: 2025-12-03 21:26
Cambios: 2024-03-21 02:28 (66), 2025-04-13 19:33 (4), 2025-12-03 21:26 (12)
Completo: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.