Shopware — popularna platforma e-commerce — zawiera krytyczną podatność SQL injection w polu 'name' obiektu 'aggregations' w API wyszukiwania. Błąd umożliwia nieuwierzytelnionemu atakującemu zdalnie wydobyć dane z bazy danych aplikacji bez konieczności posiadania jakichkolwiek uprawnień.
▸ Pokaż oryginał (EN)
Shopware is an open headless commerce platform. The Shopware application API contains a search functionality which enables users to search through information stored within their Shopware instance. The searches performed by this function can be aggregated using the parameters in the “aggregations” object. The ‘name’ field in this “aggregations” object is vulnerable SQL-injection and can be exploited using time-based SQL-queries. This issue has been addressed and users are advised to update to Shopware 6.5.7.4. For older versions of 6.1, 6.2, 6.3 and 6.4 corresponding security measures are also available via a plugin. For the full range of functions, we recommend updating to the latest Shopware version.
Funkcja wyszukiwania w API Shopware pozwala agregować wyniki za pomocą parametrów przekazywanych w obiekcie 'aggregations'. Pole 'name' w tym obiekcie nie jest odpowiednio sanityzowane, co pozwala na wstrzyknięcie złośliwych zapytań SQL. Atakujący może wykorzystać technikę time-based SQL injection — manipulując czasem odpowiedzi serwera — do stopniowego odczytywania zawartości bazy danych bez konieczności bezpośredniej odpowiedzi z błędem.
Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych przechowywanych w bazie danych instancji Shopware, w tym danych klientów, zamówień i konfiguracji. Wektor sieciowy bez wymaganego uwierzytelnienia znacząco zwiększa zasięg potencjalnego ataku.
Należy zaktualizować Shopware do wersji 6.5.7.4 lub nowszej. Dla starszych gałęzi (6.1, 6.2, 6.3, 6.4) producent udostępnił odpowiednie zabezpieczenia w formie pluginu — należy go zainstalować zgodnie z dokumentacją producenta. Zalecana jest migracja do najnowszej wersji Shopware.
Shopware 6 w wersjach 6.1, 6.2, 6.3, 6.4 oraz 6.5.x przed 6.5.7.4
Podatność dotyczy wyłącznie endpointów API — instancje z wyłączonym lub odpowiednio odizolowanym API mogą być mniej narażone. Szczegóły opublikowano w GitHub Security Advisory GHSA-qmp9-2xwj-m6m9.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:LShopware
APPShopware< 6.5.7.4
Powiązane podatności
Shopware is an open source commerce platform based on Symfony Framework and Vue js. In a Twig environment **wi...
Shopware is an open source eCommerce platform. Versions prior to 6.3.5.1 may leak of information via Store-API...
The backend/Login/load/ script in Shopware before 5.1.5 allows remote attackers to execute arbitrary code.
Shopware is an open commerce platform. Prior to 6.7.8.1 and 6.6.10.15, an insufficient check on the filter typ...
Shopware is an open commerce platform. Prior to 6.6.10.15 and 6.7.8.1, a vulnerability in the Shopware app reg...