Shopware — это открытая торговая платформа. До версий 6.7.8.1 и 6.6.10.15 недостаточная проверка типов фильтров для неаутентифицированных клиентов позволяет получить доступ к заказам других клиентов. Это часть поддержки deepLinkCode в конечной точке store-api.order.
Эта уязвимость исправлена в версиях 6.7.8.1 и 6.6.10.15.
Показать оригинальное описание (EN)
Shopware is an open commerce platform. Prior to 6.7.8.1 and 6.6.10.15, an insufficient check on the filter types for unauthenticated customers allows access to orders of other customers. This is part of the deepLinkCode support on the store-api.order endpoint. This vulnerability is fixed in 6.7.8.1 and 6.6.10.15.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Shopware Shopware
cpe:2.3:a:shopware:shopware:*:*:*:*:*:*:*:*
|
— |
6.6.10.15
|
|
Shopware Shopware
cpe:2.3:a:shopware:shopware:*:*:*:*:*:*:*:*
|
6.7.0.0
|
6.7.8.1
|