Версии Adobe Commerce 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 и более ранние подвержены уязвимости неправильного ограничения ссылки на внешние …
Версии Adobe Commerce 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 и более ранние подвержены уязвимости неправильного ограничения ссылки на внешние XML-сущности ('XXE'), что может привести к выполнению произвольного кода. Злоумышленник может использовать эту уязвимость, отправив подготовленный XML-документ, который ссылается на внешние сущности. Эксплуатация этой проблемы не требует взаимодействия пользователя.
Продукт обрабатывает XML-документ, который может содержать XML-сущности с URI, разрешающимися в документы за пределами предусмотренной сферы контроля, из-за чего продукт включает некорректные документы в свой вывод.
https://cwe.mitre.org/data/definitions/611.html →Открыть в коллекции CWE →Данная атака использует свойство замены сущностей в ряде языков сериализации данных (например, XML, YAML и т. д.), при котором значением замены является URI. Специально сформированный файл может содержать ссылку на URI, потребление которого требует значительных ресурсов, что создаёт условие отказа в обслуживании. Это может привести к зависанию, аварийному завершению системы или выполнению произвольного кода в зависимости от URI.
https://capec.mitre.org/data/definitions/221.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Эксплуатируется | ||
| Эксплуатируется | ||
| commerce | * | Эксплуатируется |
| commerce_webhooks | * | Эксплуатируется |
| magento | * | Эксплуатируется |