CVE-2021-32720
List of order ids, number, items total and token value exposed for unauthorized uses via new API
Severity Score
Exploit Likelihood
Affected Versions
Public Exploits
0Exploited in Wild
-Decision
Descriptions
Sylius is an Open Source eCommerce platform on top of Symfony. In versions of Sylius prior to 1.9.5 and 1.10.0-RC.1, part of the details (order ID, order number, items total, and token value) of all placed orders were exposed to unauthorized users. If exploited properly, a few additional information like the number of items in the cart and the date of the shipping may be fetched as well. This data seems to not be crucial nor is personal data, however, could be used for sociotechnical attacks or may expose a few details about shop condition to the third parties. The data possible to aggregate are the number of processed orders or their value in the moment of time. The problem has been patched at Sylius 1.9.5 and 1.10.0-RC.1. There are a few workarounds for the vulnerability. The first possible solution is to hide the problematic endpoints behind the firewall from not logged in users. This would put only the order list under the firewall and allow only authorized users to access it. Once a user is authorized, it will have access to theirs orders only. The second possible solution is to decorate the `\Sylius\Bundle\ApiBundle\Doctrine\QueryCollectionExtension\OrdersByLoggedInUserExtension` and throw `Symfony\Component\Security\Core\Exception\AccessDeniedException` if the class is executed for unauthorized user.
Sylius es una plataforma Open Source eCommerce sobre Symfony. En las versiones de Sylius anteriores a 1.9.5 y 1.10.0-RC.1, parte de los detalles (ID del pedido, número de pedido, total de artículos y valor del token) de todos los pedidos colocados estaban expuestos a usuarios no autorizados. Si es explotado apropiadamente, también se pueden obtener algunos datos adicionales como el número de artículos en el carrito y la fecha de envío. Estos datos no parecen ser cruciales ni son datos personales, sin embargo, podrían ser usados para ataques sociotécnicos o pueden exponer algunos detalles sobre el estado de la tienda a terceros. Los posibles datos que se pueden agregar son el número de pedidos procesados o su valor en el momento. El problema ha sido parcheado en Sylius versiones 1.9.5 y 1.10.0-RC.1. Se presentan algunas soluciones para la vulnerabilidad. La primera solución posible es ocultar los endpoints problemáticos detrás del firewall de los usuarios no conectados. Esto pondría sólo la lista de pedidos bajo el firewall y permitiría que sólo los usuarios autorizados accedieran a ella. Una vez que un usuario está autorizado, sólo tendrá acceso a sus pedidos. La segunda solución posible es decorar el "Sylius\Bundle\ApiBundle\Doctrine\QueryCollectionExtension\OrdersByLoggedInUserExtension" y lanzar "Symfony\Component\Security\Core\Exception\AccessDeniedException" si la clase es ejecutada por un usuario no autorizado
CVSS Scores
SSVC
- Decision:-
Timeline
- 2021-05-12 CVE Reserved
- 2021-06-28 CVE Published
- 2024-03-13 EPSS Updated
- 2024-08-03 CVE Updated
- ---------- Exploited in Wild
- ---------- KEV Due Date
- ---------- First Exploit
CWE
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor
CAPEC
References (2)
| URL | Tag | Source |
|---|---|---|
| https://github.com/Sylius/Sylius/releases/tag/v1.9.5 | Release Notes | |
| https://github.com/Sylius/Sylius/security/advisories/GHSA-rpxh-vg2x-526v | Mitigation |
| URL | Date | SRC |
|---|
| URL | Date | SRC |
|---|
| URL | Date | SRC |
|---|
Affected Vendors, Products, and Versions
| Vendor | Product | Version | Other | Status | ||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Vendor | Product | Version | Other | Status | <-- --> | Vendor | Product | Version | Other | Status |
| Sylius Search vendor "Sylius" | Sylius Search vendor "Sylius" for product "Sylius" | >= 1.9.0 < 1.9.5 Search vendor "Sylius" for product "Sylius" and version " >= 1.9.0 < 1.9.5" | - |
Affected
| ||||||