V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2025-69871Высокий

Уязвимость гоночного состояния существует в MedusaJS Medusa v2.12.2 и ранее в функции registerUsage() модуля продвижения. Функция выполняет…

CVSS
8.1
Высокий
EPSS
0.00
p26
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание

Уязвимость гоночного состояния существует в MedusaJS Medusa v2.12.2 и ранее в функции registerUsage() модуля продвижения. Функция выполняет неатомную операцию проверки чтения при обеспечении соблюдения ограничений использования продвижения. Это позволяет неаутентифицированным удаленным злоумышленникам обходить ограничения на использование, отправляя одновременные запросы на оформление заказа, что приводит к неограниченному погашению промокодов с ограниченным использованием и потенциальным финансовым потерям.

Теги · CWE
Без аутентификации
CWE-362
CAPEC-26
CAPEC-29
Вектор CVSS
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: H
Высокая (H)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.004 · p26
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Нет уязвимостей под заданные фильтры.