漏洞详情
受影响版本
Magento Commerce
- 2.4.2及更早版本
- 2.4.2-p1及更早版本
- 2.3.7及更早版本
受影响的Composer包
magento/community-editionmagento/project-community-edition(版本<= 2.0.2)
漏洞描述
Magento Commerce在结账过程中存在输入验证不当漏洞。未经身份验证的攻击者可以利用此漏洞篡改商品价格。
安全版本
已修复的安全版本:
- 2.3.7-p1
- 2.4.2-p2
漏洞严重程度
- 严重等级:高
- EPSS评分:1.428%(第80百分位)
弱点分类
- CWE-20:不当的输入验证
- 产品接收输入或数据,但未验证或错误验证输入具有安全正确处理数据所需的属性。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2021-36030
- https://helpx.adobe.com/security/products/magento/apsb21-64.html
时间线
- NVD发布:2021年9月1日
- GitHub咨询数据库发布:2022年5月24日
- 最后更新:2025年11月6日