Vulnerabilidad en Shopware (CVE-2024-42355)
Severidad:
ALTA
Type:
No Disponible / Otro tipo
Fecha de publicación:
08/08/2024
Última modificación:
08/08/2024
Descripción
Shopware, una plataforma de comercio electrónico abierta, tiene una nueva etiqueta Twig `sw_silent_feature_call` que silencia los mensajes de obsolescencia mientras se activa en esta etiqueta. Antes de las versiones 6.6.5.1 y 6.5.8.13, acepta como parámetro una cadena el nombre del indicador de característica a silenciar, pero este parámetro no tiene escape correctamente y permite la ejecución de código. Actualice a Shopware 6.6.5.1 o 6.5.8.13 para recibir un parche. Para las versiones anteriores 6.2, 6.3 y 6.4 también están disponibles las medidas de seguridad correspondientes a través de un complemento.
Impacto
Puntuación base 3.x
8.30
Severidad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/shopware/core/commit/a784aa1cec0624e36e0ee4d41aeebaed40e0442f
- https://github.com/shopware/core/commit/d35ee2eda5c995faeb08b3dad127eab65c64e2a2
- https://github.com/shopware/shopware/commit/445c6763cc093fbd651e0efaa4150deae4ae60da
- https://github.com/shopware/shopware/commit/8504ba7e56e53add6a1d5b9d45015e3d899cd0ac
- https://github.com/shopware/shopware/security/advisories/GHSA-27wp-jvhw-v4xp