Plataforma
aspnet
Componente
smartstorenet
Corregido en
4.0.1
El CVE-2020-15243 describe una vulnerabilidad de falta de autenticación en el plugin Web API de Smartstore. Esta falla permite a atacantes no autenticados acceder a la API de Smartstore, comprometiendo la confidencialidad e integridad de los datos. La vulnerabilidad afecta a las versiones 4.0.0 y 4.0.1 de Smartstore con el plugin Web API activado. Se recomienda actualizar a la versión 4.0.1 o desinstalar el plugin como solución temporal.
La falta de autenticación en el plugin Web API de Smartstore permite a un atacante acceder a la API sin necesidad de credenciales válidas. Esto podría resultar en la lectura, modificación o eliminación de datos sensibles almacenados en la base de datos de Smartstore, incluyendo información de clientes, productos y pedidos. Un atacante podría también utilizar la API para realizar acciones no autorizadas, como la creación de nuevos usuarios o la modificación de la configuración del sistema. La severidad CRITICAL del CVSS indica un alto riesgo de explotación y un impacto significativo en la seguridad de la tienda online.
Este CVE fue publicado el 8 de octubre de 2020. No se ha reportado explotación activa a la fecha, pero la alta severidad (CVSS 9.1) indica una alta probabilidad de que sea explotado si no se toman medidas correctivas. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Smartstore installations running versions 4.0.0 and 4.0.1, particularly those with the Web API plugin enabled, are at significant risk. Shared hosting environments utilizing Smartstore are also vulnerable, as the API plugin may be installed and activated by default. Organizations relying on the Smartstore API for critical business processes should prioritize remediation.
• aspnet: Examine web server logs for unusual API requests originating from unexpected IP addresses.
Get-WinEvent -LogName Application -FilterXPath "/Event[System[Provider[@Name='ASP.NET Core Hosting'] and (EventID=2000 or EventID=2001)] and EventData[Data[@Name='RequestPath']='api/...' ]" | fl -Property TimeCreated, Message• generic web: Use curl to attempt accessing API endpoints without authentication headers.
curl -I https://your-smartstore-site.com/api/products• generic web: Monitor access logs for requests to /api/ endpoints with unusual user agents or referrer headers.
disclosure
Estado del Exploit
EPSS
0.28% (51% percentil)
Vector CVSS
La solución principal para mitigar el CVE-2020-15243 es actualizar Smartstore a la versión 4.0.1, que incluye la corrección de la vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda desinstalar el plugin Web API como una medida temporal. En caso de no poder actualizar, se debe verificar que no haya endpoints expuestos en la API que puedan ser explotados. Después de la actualización, confirme que la autenticación está correctamente implementada en la API revisando los logs de acceso y la configuración del plugin.
Actualice Smartstore a una versión posterior a 4.0.1 o aplique el parche proporcionado por el proveedor. Como alternativa, desinstale el plugin Web API para mitigar la vulnerabilidad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2020-15243 is a critical vulnerability in Smartstore versions 4.0.0-4.0.1 where the Web API plugin lacks authentication, allowing unauthorized API access.
If you are running Smartstore versions 4.0.0 or 4.0.1 with the Web API plugin enabled, you are potentially affected by this vulnerability.
Upgrade to Smartstore version 4.0.1 or later, or uninstall the Web API plugin to mitigate the vulnerability.
While no confirmed active exploitation campaigns are known, the vulnerability's severity and ease of exploitation make it a potential target.
Refer to the Smartstore security advisory for detailed information and remediation steps: [https://www.smartstore.com/news/security-advisory-cve-2020-15243](https://www.smartstore.com/news/security-advisory-cve-2020-15243)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.