VDB-198658 · CVE-2022-24892 · GHSA-3qrq-r688-vvh4

Shopware 迄 5.7.8 Password Reset Token 特権昇格

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
5.4	$0-$5k	0.00

要約情報

現在、Shopware 迄 5.7.8にて、重大と分類される脆弱性が確認されています。対象となるのは不明な関数コンポーネントPassword Reset Token Handlerのです。引数の操作が、特権昇格をもたらします。この脆弱性はCVE-2022-24892として知られています。攻撃を遠隔で開始することができます。影響コンポーネントのアップグレードを推奨します。

現在、Shopware 迄 5.7.8にて、重大と分類される脆弱性が確認されています。対象となるのは不明な関数コンポーネントPassword Reset Token Handlerのです。引数の操作が、特権昇格をもたらします。この脆弱性に対応するCWEの定義は CWE-640 です。この脆弱性は 2022年04月28日ににて「GHSA-3qrq-r688-vvh4」として紹介されました。アドバイザリはgithub.comで提供されています。

この脆弱性はCVE-2022-24892として知られています。 CVEの割当は2022年02月10日で行われました。攻撃を遠隔で開始することができます。技術的な情報は提供されていません。攻撃を成功させるための複雑性が高いです。悪用は困難だということが知られています。この脆弱性の一般的な利用度は平均を下回っています。今のところ、エクスプロイトの価格はおよそUSD $0-$5kと推定されます。 MITRE ATT&CKプロジェクトは攻撃技術をT1552としています。

このエクスプロイトツールは未定義として宣言されています。 0-dayの際、アンダーグラウンド市場での想定価格は$0-$5k前後でした。

バージョン5.7.9にアップグレードすることで、この問題に対処できます。最新版はshopware.comで入手可能です。影響コンポーネントのアップグレードを推奨します。