漏洞详情

受影响版本

Magento Commerce:

• 2.4.2及更早版本
• 2.4.2-p1及更早版本
• 2.3.7及更早版本

漏洞描述

Magento Commerce存在输入验证不当漏洞。拥有管理员权限的攻击者可以向pub/media目录上传特制文件，这可能导致远程代码执行。

严重程度

高危 - CVSS评分7.2

修复版本

• 2.3.7-p1
• 2.4.2-p2

技术细节

CVSS v3基础指标:

• 攻击向量：网络
• 攻击复杂度：低
• 所需权限：高
• 用户交互：无
• 影响范围：未改变
• 机密性影响：高
• 完整性影响：高
• 可用性影响：高

弱点分类： CWE-20 输入验证不当

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2021-36041
• https://helpx.adobe.com/security/products/magento/apsb21-64.html