Several admin invoice controllers lacked explicit ACL (Access Control List) resource definitions, potentially allowing admin users with insufficient privileges to perform invoice operations (create, cancel, capture, void) outside their authorized scope.

This vulnerability affects the following application versions:

  • Magento 2.0.3
  • Magento 2.0.4
  • Magento 2.0.5
  • Magento 2.0.6
  • Magento 2.0.7
  • Magento 2.0.8
  • Magento 2.0.9
  • Magento 2.0.10
  • Magento 2.0.11
  • Magento 2.0.12
  • Magento 2.0.13
  • Magento 2.0.14
  • Magento 2.0.15
  • Magento 2.0.16
  • Magento 2.0.17
  • Magento 2.0.18
  • Magento 2.1.0
  • Magento 2.1.0-rc1
  • Magento 2.1.0-rc2
  • Magento 2.1.0-rc3
  • Magento 2.1.1
  • Magento 2.1.2
  • Magento 2.1.3
  • Magento 2.1.4
  • Magento 2.1.5
  • Magento 2.1.6
  • Magento 2.1.7
  • Magento 2.1.8
  • Magento 2.1.9
  • Magento 2.1.10
  • Magento 2.1.11
  • Magento 2.1.12
  • Magento 2.1.13
  • Magento 2.1.14
  • Magento 2.1.15
  • Magento 2.1.16
  • Magento 2.1.17
  • Magento 2.1.18
  • Magento 2.2.0
  • Magento 2.2.0-rc2.0
  • Magento 2.2.0-rc2.1
  • Magento 2.2.0-rc2.2
  • Magento 2.2.0-rc2.3
  • Magento 2.2.0-rc3.0
  • Magento 2.2.0-RC1.1
  • Magento 2.2.0-RC1.2
  • Magento 2.2.0-RC1.3
  • Magento 2.2.0-RC1.4
  • Magento 2.2.0-RC1.5
  • Magento 2.2.0-RC1.6
  • Magento 2.2.0-RC1.8
  • Magento 2.2.1
  • Magento 2.2.2
  • Magento 2.2.3
  • Magento 2.2.4
  • Magento 2.2.5
  • Magento 2.2.6
  • Magento 2.2.7
  • Magento 2.2.8
  • Magento 2.2.9
  • Magento 2.2.10
  • Magento 2.2.11
  • Magento 2.3.0
  • Magento 2.3.1
  • Magento 2.3.2
  • Magento 2.3.2-p1
  • Magento 2.3.2-p2
  • Magento 2.3.3
  • Magento 2.3.3-p1
  • Magento 2.3.4
  • Magento 2.3.4-p2
  • Magento 2.3.5
  • Magento 2.3.5-p1
  • Magento 2.3.5-p2
  • Magento 2.3.6
  • Magento 2.3.6-p1
  • Magento 2.3.7
  • Magento 2.3.7-p1
  • Magento 2.3.7-p2
  • Magento 2.3.7-p3
  • Magento 2.3.7-p4
  • Magento 2.4.0
  • Magento 2.4.0-p1
  • Magento 2.4.1
  • Magento 2.4.1-p1
  • Magento 2.4.2
  • Magento 2.4.2-p1
  • Magento 2.4.2-p2
  • Magento 2.4.3
  • Magento 2.4.3-p1
  • Magento 2.4.3-p2
  • Magento 2.4.3-p3
  • Magento 2.4.4
  • Magento 2.4.4-p1
  • Magento 2.4.4-p2
  • Magento 2.4.4-p3
  • Magento 2.4.4-p4
  • Magento 2.4.4-p5
  • Magento 2.4.4-p6
  • Magento 2.4.4-p7
  • Magento 2.4.4-p8
  • Magento 2.4.4-p9
  • Magento 2.4.4-p10
  • Magento 2.4.5
  • Magento 2.4.5-p1
  • Magento 2.4.5-p2
  • Magento 2.4.5-p3
  • Magento 2.4.5-p4
  • Magento 2.4.5-p5
  • Magento 2.4.5-p6
  • Magento 2.4.5-p7
  • Magento 2.4.5-p8
  • Magento 2.4.5-p9
  • Magento 2.4.6
  • Magento 2.4.6-p1
  • Magento 2.4.6-p2
  • Magento 2.4.6-p3
  • Magento 2.4.6-p4
  • Magento 2.4.6-p5
  • Magento 2.4.6-p6
  • Magento 2.4.6-p7
  • Magento 2.4.7
  • Magento 2.4.7-beta1
  • Magento 2.4.7-beta2
  • Magento 2.4.7-beta3
  • Magento 2.4.7-p1
  • Magento 2.4.7-p2

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *