漏洞详情

受影响版本

Magento Commerce

• 2.4.2及更早版本
• 2.4.2-p1及更早版本
• 2.3.7及更早版本

补丁版本

• 2.4.2-p2
• 2.3.7-p1

技术描述

Magento Commerce受影响版本在API文件选项上传扩展中存在不当输入验证漏洞。具有管理员权限的攻击者可以实现无限制文件上传，最终导致远程代码执行。

严重程度

严重级别 - CVSS评分：9.1/10

CVSS v3基础指标

• 攻击向量：网络
• 攻击复杂度：低
• 所需权限：高
• 用户交互：无
• 范围：已更改
• 机密性：高
• 完整性：高
• 可用性：高

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2021-36042
• https://helpx.adobe.com/security/products/magento/apsb21-64.html

弱点分类

CWE-20 - 不当输入验证 产品接收输入或数据，但未验证或错误验证输入是否具有安全正确处理数据所需的属性。