Katalog CVE

CVE-2026-42155

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W wersjach Magento Long Term Support (LTS) przed 20.18.0, identyfikator sesji API XML-RPC / SOAP jest generowany przy użyciu przestarzałej metody opartej na czasie, co prowadzi do niskiego poziomu entropii. To narusza standardy OWASP ASVS i NIST, umożliwiając atakującym przeprowadzenie ataku brute-force na aktywne sesje API.

Ocena ryzyka

Organizacje korzystające z Magento LTS mogą być narażone na przejęcie sesji API, co może prowadzić do nieautoryzowanego dostępu do danych i funkcji systemu. Wysokie ryzyko związane z brakiem odpowiednich zabezpieczeń w generowaniu identyfikatorów sesji.

Rekomendacja

Zaleca się aktualizację do wersji 20.18.0 lub nowszej, aby skorzystać z poprawionego mechanizmu generowania identyfikatorów sesji. Dodatkowo, warto wdrożyć ograniczenia dotyczące liczby zapytań do API, aby zminimalizować ryzyko ataków brute-force.

Oryginalny opis (angielski, źródło NVD)

Magento Long Term Support (LTS) is an unofficial, community-driven project provides an alternative to the Magento Community Edition e-commerce platform with a high level of backward compatibility. Prior to 20.18.0, the XML-RPC / SOAP API session ID is generated using an outdated, time-based construction rather than a Cryptographically Secure Pseudo-Random Number Generator (CSPRNG). All inputs to the MD5 hash are time-derived and non-secure. Because the resulting digest relies entirely on the timestamp and the PHP internal LCG state, the effective entropy is severely constrained. This violates the OWASP ASVS v4 requirement of ≥ 64 bits of entropy (V3.2.2) and NIST SP 800-63B standards. By narrowing the LCG window (via server state leaks or general predictability) and leveraging the lack of API rate-limiting, an attacker can generate a localized pool of candidate MD5 hashes and execute a high-speed online brute-force attack to hijack active API sessions. This vulnerability is fixed in 20

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS