Plataforma
php
Componente
shopware
Corregido en
6.5.8
CVE-2024-22406 describe una vulnerabilidad de inyección SQL presente en la funcionalidad de búsqueda de la API de Shopware 6. Esta falla permite a atacantes inyectar código SQL malicioso, comprometiendo la integridad y confidencialidad de los datos almacenados. La vulnerabilidad afecta a las versiones de Shopware 6 hasta la 6.5.7.4, y se recomienda actualizar a la versión corregida para evitar la explotación.
La inyección SQL en Shopware 6 permite a un atacante ejecutar consultas SQL arbitrarias en la base de datos de la aplicación. Esto podría resultar en la extracción de información confidencial, como datos de clientes, información de productos, credenciales de usuario y datos de transacciones. Un atacante podría modificar datos, eliminar registros o incluso tomar control de la base de datos. La severidad crítica de esta vulnerabilidad se debe a la facilidad con la que puede ser explotada y el potencial daño que puede causar. La explotación exitosa podría permitir el acceso no autorizado a información sensible y la manipulación de la infraestructura de comercio electrónico.
Esta vulnerabilidad fue publicada el 16 de enero de 2024. No se ha reportado explotación activa a gran escala, pero la naturaleza crítica de la vulnerabilidad y la disponibilidad de la información técnica la convierten en un objetivo atractivo para atacantes. Se recomienda monitorear activamente los sistemas Shopware 6 para detectar posibles intentos de explotación. La vulnerabilidad se basa en la falta de sanitización adecuada de los parámetros de entrada en la API de búsqueda, similar a otras vulnerabilidades de inyección SQL.
Organizations utilizing Shopware for their e-commerce operations, particularly those running versions prior to 6.5.7.4, are at significant risk. This includes businesses relying on Shopware's API for integrations with third-party services, as well as shared hosting environments where multiple Shopware instances might be vulnerable due to misconfigured security settings.
• php: Examine Shopware application logs for unusual SQL queries involving the search API endpoint. Look for patterns indicative of time-based SQL injection attempts.
grep -i 'sleep(' /var/log/shopware/application.log• generic web: Monitor web server access logs for requests to the Shopware search API endpoint with suspicious parameters in the 'aggregations.name' field.
grep 'aggregations.name=' /var/log/apache2/access.log• database (mysql): If database access is possible, review slow query logs for queries originating from the Shopware application that exhibit characteristics of SQL injection attempts.
SHOW PROCESSLIST; -- Look for long-running queriesdisclosure
patch
Estado del Exploit
EPSS
0.22% (45% percentil)
Vector CVSS
La mitigación principal para CVE-2024-22406 es actualizar Shopware 6 a la versión 6.5.7.4 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y sanitización rigurosa de todas las entradas de usuario en la API de búsqueda. Implementar reglas de firewall de aplicaciones web (WAF) para detectar y bloquear intentos de inyección SQL. Monitorear los registros de la aplicación en busca de patrones sospechosos de inyección SQL.
Actualice Shopware a la versión 6.5.7.4 o superior. Si no puede actualizar inmediatamente, Shopware proporciona un plugin de seguridad para versiones anteriores (6.1, 6.2, 6.3 y 6.4). Se recomienda actualizar a la última versión de Shopware para obtener todas las funciones y correcciones de seguridad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-22406 is a critical SQL injection vulnerability affecting Shopware versions up to 6.5.7.4, allowing attackers to potentially extract sensitive data through the search API.
If you are running Shopware versions 6.1, 6.2, 6.3, 6.4, or 6.5.7.4 or earlier, you are potentially affected and should upgrade immediately.
The recommended fix is to upgrade to Shopware version 6.5.7.4 or later. Temporary workarounds include input validation and WAF rules.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation suggest a high risk of future attacks.
Refer to the official Shopware security advisory for detailed information and updates: [https://shopware.com/security/advisories/](https://shopware.com/security/advisories/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.