Boletín de seguridad de Adobe

Buscar

Última actualización el 26 dic. 2022 | También se aplica a Digital Editions

Actualizaciones de seguridad disponibles para Magento | APSB21-30

ID del boletín	Fecha de publicación	Prioridad
ASPB30-21	11 de mayo de 2021	2

Resumen

El éxito de la explotación podría dar lugar a un acceso no autorizado a recursos restringidos. Magento ha publicado actualizaciones para sus ediciones Magento Commerce y Magento Open Source.Estas actualizaciones solucionan vulnerabilidades clasificadas como importantes y moderadas. Estas vulnerabilidades podrían dar lugar a la ejecución de código arbitrario.

Versiones afectadas

Producto	Versión	Plataforma
Magento Commerce	2.4.2 y versiones anteriores	Todas
	2.4.1-p1 y versiones anteriores	Todas
	2.3.6-p1 y versiones anteriores	Todas
Magento Open Source	2.4.2 y versiones anteriores	Todas
	2.4.1-p1 y versiones anteriores	Todas
	2.3.6-p1 y versiones anteriores	Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.

Producto	Versión actualizada	Plataforma	Prioridad Nivel	Notas de la versión
Magento Commerce	2.4.2-p1	Todas	2	Notas de la versión 2.4.x Notas de la versión 2.3.x
Magento Commerce	2.3.7	Todas	2
Magento Open Source	2.4.2-p1	Todas	2
Magento Open Source	2.3.7	Todas	2

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad	Impacto de la vulnerabilidad	Gravedad	¿Autenticación previa?	¿Se requieren privilegios administrativos?	ID del error de Magento	Números CVE
Divulgación de información	Divulgación de la ruta raíz del documento	Moderado	No	Sí	PRODSECBUG-2927	CVE-2021-28566
Autorización incorrecta	Modificación no autorizada de datos de clientes	Moderado	No	Sí	PRODSECBUG-2931	CVE-2021-28567
Secuencias de comandos en sitios cruzados (basadas en DOM)	Ejecución de JavaScript arbitraria en el navegador	Importante	Sí	No	PRODSECBUG-2918	CVE-2021-28556
Autorización incorrecta	Acceso no autorizado a recursos restringidos	Moderado	No	Sí	PRODSECBUG-2935	CVE-2021-28563
Violación de los principios de diseño seguro	Acceso no autorizado a recursos restringidos	Moderado	No	Sí	PRODSECBUG-2943	CVE-2021-28583
Path traversal	Escritura arbitraria del sistema de archivos	Moderado	No	Sí	PRODSECBUG-2957	CVE-2021-28584
Validación incorrecta de la entrada	Omisión de la función de seguridad	Moderado	No	No	MC-39885	CVE-2021-28585

Nota:

Autenticación previa: la vulnerabilidad se puede explotar sin credenciales.

Privilegios administrativos necesarios: la vulnerabilidad solo la puede explotar un atacante con privilegios administrativos.

Las descripciones técnicas adicionales de las CVE a las que se hace referencia en este documento estarán disponibles en los sitios de MITRE y NVD.

Reconocimientos

Adobe desea dar las gracias a las siguientes personas por informar sobre problemas importantes y colaborar con Adobe para ayudarnos a proteger a nuestros clientes:   

Kien Hoang (CVE-2021-28567)
Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
Charybdis (CVE-2021-28556)
Igor Wulff (CVE-2021-28583)
Derp47 (CVE-2021-28584)

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?