Vulnerabilidad en Shopware (CVE-2024-42354)
Severidad:
MEDIA
Type:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
08/08/2024
Última modificación:
08/08/2024
Descripción
Shopware es una plataforma de comercio abierta. La API de la tienda funciona con entidades normales y no expone todos los campos para la API pública; Los campos deben marcarse como ApiAware en EntityDefinition. Por lo tanto, solo los campos ApiAware de EntityDefinition se codificarán en el JSON final. Antes de las versiones 6.6.5.1 y 6.5.8.13, el procesamiento de los Criterios no consideraba las asociaciones ManyToMany por lo que no se consideraban adecuadamente y no se utilizaban las protecciones. Shopware no puede reproducir este problema con las entidades predeterminadas, pero puede activarse con extensiones. Actualice a Shopware 6.6.5.1 o 6.5.8.13 para recibir un parche. Para las versiones anteriores 6.2, 6.3 y 6.4 también están disponibles las medidas de seguridad correspondientes a través de un complemento.
Impacto
Puntuación base 3.x
5.30
Severidad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/shopware/core/commit/a784aa1cec0624e36e0ee4d41aeebaed40e0442f
- https://github.com/shopware/core/commit/d35ee2eda5c995faeb08b3dad127eab65c64e2a2
- https://github.com/shopware/shopware/commit/8504ba7e56e53add6a1d5b9d45015e3d899cd0ac
- https://github.com/shopware/shopware/commit/ad83d38809df457efef21c37ce0996430334bf01
- https://github.com/shopware/shopware/security/advisories/GHSA-hhcq-ph6w-494g