CVE

Vulnerabilidad en Shopware (CVE-2024-42357)

Severidad:
ALTA
Type:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
08/08/2024
Última modificación:
08/08/2024

Descripción

Shopware es una plataforma de comercio abierta. Antes de las versiones 6.6.5.1 y 6.5.8.13, la API de la aplicación Shopware contiene una función de búsqueda que permite a los usuarios buscar información almacenada en su instancia de Shopware. Las búsquedas realizadas por esta función se pueden agregar utilizando los parámetros en el objeto "agregaciones". El campo `nombre` en este objeto `agregaciones` es vulnerable a la inyección de SQL y puede explotarse utilizando parámetros SQL. Actualice a Shopware 6.6.5.1 o 6.5.8.13 para recibir un parche. Para versiones anteriores de 6.1, 6.2, 6.3 y 6.4, las medidas de seguridad correspondientes también están disponibles a través de un complemento.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.30 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x
7.30
Severidad 3.x
ALTA

Referencias a soluciones, herramientas e información