Magento versions 2.3.5-p1 and earlier, and 2.3.5-p1 and earlier have an observable timing discrepancy vulnerability. Successful exploitation could lead to signature verification bypass.
{ "cpes": [ "cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*", "cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*", "cpe:2.3:a:magento:magento:2.3.5:-:*:*:commerce:*:*:*", "cpe:2.3:a:magento:magento:2.3.5:-:*:*:open_source:*:*:*", "cpe:2.3:a:magento:magento:2.3.5:p1:*:*:commerce:*:*:*", "cpe:2.3:a:magento:magento:2.3.5:p1:*:*:open_source:*:*:*" ], "severity": "Medium" }