Magento versions 2.3.5-p1 and earlier, and 2.3.5-p1 and earlier have an observable timing discrepancy vulnerability. Successful exploitation could lead to signature verification bypass.
{
"source": [
"CPE_RANGE",
"CPE_STRING"
],
"cpe": [
"cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*",
"cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*",
"cpe:2.3:a:magento:magento:2.3.5:-:*:*:commerce:*:*:*",
"cpe:2.3:a:magento:magento:2.3.5:-:*:*:open_source:*:*:*"
],
"extracted_events": [
{
"introduced": "0"
},
{
"fixed": "2.3.5"
},
{
"introduced": "2.3.5-NA"
},
{
"last_affected": "2.3.5-NA"
}
]
}{
"source": [
"CPE_RANGE",
"CPE_STRING"
],
"cpe": [
"cpe:2.3:a:magento:magento:*:*:*:*:commerce:*:*:*",
"cpe:2.3:a:magento:magento:*:*:*:*:open_source:*:*:*",
"cpe:2.3:a:magento:magento:2.3.5:-:*:*:commerce:*:*:*",
"cpe:2.3:a:magento:magento:2.3.5:-:*:*:open_source:*:*:*",
"cpe:2.3:a:magento:magento:2.3.5:p1:*:*:commerce:*:*:*",
"cpe:2.3:a:magento:magento:2.3.5:p1:*:*:open_source:*:*:*"
],
"extracted_events": [
{
"introduced": "0"
},
{
"fixed": "2.3.5"
},
{
"introduced": "2.3.5-NA"
},
{
"last_affected": "2.3.5-NA"
},
{
"introduced": "2.3.5-p1"
},
{
"last_affected": "2.3.5-p1"
}
]
}