Главная страница » CVE
0
8 месяцев
CVE

CVE-2023-29297: Межсайтовый скриптинг в Adobe Commerce (formerly Magento Commerce)

CVE

Межсайтовый скриптинг в Adobe Commerce (formerly Magento Commerce)

Содержание
  1. Уязвимое программное обеспечение
  2. Common Vulnerability Scoring System
  3. Метод эксплуатации
  4. Уменьшение последствий
  5. Common Weakness Enumeration
  6. Ссылки

Уязвимое программное обеспечение

  • Adobe Commerce (formerly Magento Commerce): 2.3.7 - 2.4.6
  • Magento Open Source: 2.3.7 - 2.4.6

Common Vulnerability Scoring System

Рейтинг: КРИТИЧЕСКИЙ
Оценка: 9.1
Вектор: AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Метод эксплуатации

Отправка специально сформированных данных.

Уменьшение последствий

Данная уязвимость устраняется официальным патчем вендора. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Common Weakness Enumeration

CWE: 79
Описание:Некорректная нейтрализация входных данных при генерировании веб-страниц (межсайтовое выполнение сценариев)

Ссылки

Комментарии: 0
Похожие записи
0
1 день
Индикаторы компрометации

DarkGaboon: новая волна кибератак на российские компании с использованием шифровальщика LockBit

APT
Группа киберразведки PT ESC выявила активность ранее неизвестной APT-группировки DarkGaboon, которая с весны 2023 года атакует российские компании с целью финансового вымогательства.
0
1 день
Индикаторы компрометации

Operation Sindoor: Киберштурм на критическую инфраструктуру Индии

APT
Seqrite Labs, крупнейшая в Индии лаборатория анализа вредоносного ПО, зафиксировала масштабную киберкампанию под кодовым названием Operation Sindoor. В ней участвовали как государственные хакерские группировки
0
1 день
Индикаторы компрометации

Более 20 фишинговых приложений для кражи криптовалют обнаружены в Google Play Store

phishing
Специалисты Cyble Research and Intelligence Labs (CRIL) выявили более 20 вредоносных приложений в Google Play Store, которые маскируются под популярные криптокошельки, такие как SushiSwap, PancakeSwap, Hyperliquid и Raydium.
0
1 день
Индикаторы компрометации

Китайская телекоммуникационная отрасль под атакой: вредоносные программы VELETRIX и VShell в рамках операции DRAGONCLONE

APT
Специалисты Seqrite Labs APT-Team обнаружили целевую кампанию против китайской телекоммуникационной отрасли, в частности против China Mobile Tietong Co., Ltd. - дочерней компании China Mobile, одного из крупнейших операторов связи в Китае.