Shopware — это открытая торговая платформа. До версий 6.7.8.1 и 6.6.10.15 конечная точка входа в API Store (POST /store-api/account/login) возвращает разные коды ошибок в зависимости от того, принадлежит ли отправленный адрес электронной почты зарегистрированному клиенту (CHECKOUT__CUSTOMER_AUTH_BAD_CREDENTIALS) или он неизвестен (CHECKOUT__CUSTOMER_NOT_FOUND). Ответ «не найден» также соответствует проверенному адресу электронной почты.
Это позволяет злоумышленнику, не прошедшему аутентификацию, перечислить действительные учетные записи клиентов. Контроллер входа в витрину корректно объединяет оба пути ошибок, а API магазина — нет, что указывает на несогласованную защиту. Эта уязвимость исправлена в версиях 6.7.8.1 и 6.6.10.15.
Показать оригинальное описание (EN)
Shopware is an open commerce platform. Prior to 6.7.8.1 and 6.6.10.15, the Store API login endpoint (POST /store-api/account/login) returns different error codes depending on whether the submitted email address belongs to a registered customer (CHECKOUT__CUSTOMER_AUTH_BAD_CREDENTIALS) or is unknown (CHECKOUT__CUSTOMER_NOT_FOUND). The "not found" response also echoes the probed email address. This allows an unauthenticated attacker to enumerate valid customer accounts. The storefront login controller correctly unifies both error paths, but the Store API does not — indicating an inconsistent defense. This vulnerability is fixed in 6.7.8.1 and 6.6.10.15.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Shopware Shopware
cpe:2.3:a:shopware:shopware:*:*:*:*:*:*:*:*
|
— |
6.6.10.15
|
|
Shopware Shopware
cpe:2.3:a:shopware:shopware:*:*:*:*:*:*:*:*
|
6.7.0.0
|
6.7.8.1
|