Inicio / Alerta Temprana / Vulnerabilidades / CVE-2020-15109

Vulnerabilidad en el cambio de la dirección del pedido sin comprobaciones de dirección en solidus (CVE-2020-15109)

Tipo: 
Validación incorrecta de entrada
Gravedad: 
Media
Fecha publicación : 
04/08/2020
Última modificación: 
10/08/2020
Descripción
En solidus versiones anteriores a 2.8.6, 2.9.6 y 2.10.2, se presenta la posibilidad de cambiar la dirección del pedido sin activar comprobaciones de dirección. Esta vulnerabilidad permite a un cliente malicioso crear datos de petición con parámetros que permitan cambiar la dirección del pedido actual sin cambiar los costos de envío asociados con el nuevo envío. Todas las tiendas con al menos dos zonas de envío y diferentes costos de envío por zona están afectadas. Este problema proviene de cómo se estructuran los atributos permitidos de pago. Tenemos una lista única de atributos que están permitidos en todo el proceso de pago, sin importar el paso que esta siendo enviado. Consulte la referencia vinculada para más información. Como una solución alternativa, si no es posible actualizar a una versión parcheada compatible, use esta esencia en la sección de referencias
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + No hay impacto en la confidencialidad del sistema + No hay impacto en la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:nebulab:solidus:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos